De gevolgen van het niet naleven van de AVG
De Algemene Verordening Gegevensbescherming (AVG is erop gericht is de persoonsgegevens van klanten, medewerkers en andere betrokkenen te beschermen. Als je organisatie de regels van de AVG niet naleeft, kunnen de gevolgen groot zijn. Denk bijvoorbeeld aan:
- Boetes: De Autoriteit Persoonsgegevens (AP) kan flinke boetes uitdelen aan organisaties die niet voldoen aan de AVG-wet. Deze kunnen oplopen tot wel 20 miljoen euro of 4% van jouw jaarlijkse (wereldwijde) omzet. De hoogte van de boete wordt bepaald door een toezichthouder. Voor mkb-bedrijven kan zelfs een kleinere boete al een enorme impact hebben op de continuïteit.
- Reputatieschade: Een datalek of een klacht bij de AP kan ook het vertrouwen van klanten, partners en medewerkers schaden. Dit vertrouwen is een belangrijk bezit. Als blijkt dat persoonsgegevens niet goed beschermd zijn, kan dit snel verloren gaan. Dit kan uiteindelijk leiden tot klanten die vertrekken of partners die de samenwerking opzeggen.
- Schadeclaims: Naast boetes van de AP kunnen individuen waarvan gegevens gelekt zijn, ook schadeclaims indienen. Dit kan gaan om materiële schade, zoals misgelopen inkomsten, maar ook om immateriële schade, zoals stress of reputatieschade. Deze claims kunnen voor een organisatie flink oplopen.
Persoonlijke aansprakelijkheid als bestuurder
Wat veel bestuurders zich niet realiseren, is dat de AVG niet alleen gevolgen heeft voor de organisatie, maar ook voor jou persoonlijk. Als bestuurder heb je de verantwoordelijkheid om ervoor te zorgen dat de organisatie aan de privacyregels voldoet. Als er sprake is van nalatigheid, kun je persoonlijk aansprakelijk gesteld worden. Dit kan betekenen dat je met je eigen vermogen moet opdraaien voor een deel van de kosten, boetes of claims.
Je kan persoonlijk aansprakelijk worden opgesteld als wanneer blijkt dat je op de hoogte was van slechte beveiligingsmaatregelen, maar hier niets aan hebt gedaan. Of wanneer je hebt nagelaten om je medewerkers te informeren en te trainen over privacy-bewustzijn, ondanks dat dit cruciaal is binnen jouw organisatie.
Tips om aansprakelijkheid voor AVG te voorkomen
Gelukkig zijn er verschillende stappen die je kunt nemen om jouw organisatie AVG-proof te maken; en dus om persoonlijke aansprakelijkheid te voorkomen:
- Maak privacy een onderdeel van je bedrijfsstrategie: Zorg dat privacy en gegevensbescherming standaard onderdeel zijn van de werkwijze binnen jouw organisatie. Dit betekent niet alleen beleid opstellen, maar hier ook periodiek op controleren en je medewerkers in meenemen.
- Zorg voor training en bewustzijn: Regelmatige training van medewerkers is essentieel. Zorg dat iedereen binnen je organisatie begrijpt waarom privacy belangrijk is en hoe zij kunnen bijdragen aan het beschermen van persoonsgegevens.
- Stel een Functionaris Gegevensbescherming aan: In sommige gevallen is het verplicht een Functionaris Gegevensbescherming aan te stellen. Maar ook als dat niet het geval is, kan het waardevol zijn om iemand binnen of buiten je organisatie verantwoordelijk te maken voor naleving van de AVG. Deze persoon kan ook een aanspreekpunt zijn voor vragen over privacy.
- Documenteer je maatregelen: Het is belangrijk om te kunnen aantonen dat je alles hebt gedaan om aan de AVG te voldoen. Documenteer beveiligingsmaatregelen, trainingsprogramma's en de manier waarop je met datalekken omgaat. Dit kan helpen om te laten zien dat je als bestuurder je verantwoordelijkheid hebt genomen.
Conclusie
De AVG is meer dan een reeks regels die moeten worden gevolgd. Het is een manier om het opgebouwde vertrouwen van klanten en medewerkers te behouden door hun gegevens veilig te houden. Als bestuurder ben je niet alleen verantwoordelijk voor de naleving door de organisatie, maar loop je ook persoonlijk risico als je de regels niet serieus neemt. Door privacy te integreren in de bedrijfsstrategie, regelmatig training te geven en goed te documenteren, kun je jezelf en je organisatie beschermen tegen de gevolgen van een AVG-overtreding.