Voldoe aan de privacyregels, maar niet vanwege de boetes07-12-2017


Jeroen Brouwer Beleidsmedewerker ABU

Bedrijven hebben verschillende redenen om te willen voldoen aan de privacyregels. Met de Algemene verordening gegevensbescherming (AVG) in aantocht, wordt vooral de nadruk gelegd op het risico van hoge boetes. Ten onrechte, want er zijn veel betere argumenten om ‘privacyproof’ te willen zijn.

Persoonsgegevens worden door wet- en regelgeving steeds beter beschermd. Het voorlopige sluitstuk van deze trend is de AVG, die vanaf 25 mei 2018 van toepassing is. Veel ondernemingen zien op tegen de komst van de AVG, vanwege de vele verplichtingen die de verordening met zich brengt. Andere bedrijven gaan zorgelozer door het leven, meestal door onwetendheid.

Verschillende commerciële partijen spelen handig in op de zorgen en het gebrek aan kennis over de privacyregels. De AVG is voor veel consultancybureaus, advocatenkantoren en IT-bedrijven lucratieve business geworden. Wat deze dienstverleners vooral benadrukken, is het gevaar van hoge boetes bij overtreding van de verordening. De boete bedraagt maximaal € 20 miljoen of 4% van de jaaromzet. Voldoende reden om ‘compliant’ te willen zijn, zou je zeggen.

Natuurlijk, het risico op boetes kan een reden zijn om te voldoen aan de AVG. Maar dit risico verdient enige relativering. Bij overtredingen zal altijd rekening moeten worden gehouden met de ernst van de schending en het verwijt dat een onderneming kan worden gemaakt. De Autoriteit Persoonsgegevens kan eerst een waarschuwing geven of een andere lichtere maatregel opleggen. Als toch een boete wordt opgelegd, moet de hoogte daarvan proportioneel zijn. Al deze waarborgen zijn in de AVG en in het Nederlandse bestuursrecht verankerd.

Er zijn betere redenen te bedenken om de privacywetgeving te willen naleven. Het recht op privacy is een grondrecht en de bescherming van persoonsgegevens maakt daarvan onderdeel uit. Werknemers hebben er belang bij dat zorgvuldig wordt omgegaan met hun gegevens en ook klanten eisen steeds meer dat data niet ‘zomaar’ worden verwerkt. Onzorgvuldig handelen en datalekken kunnen tot reputatieschade leiden. Omgekeerd kan het adequaat beschermen van persoonsgegevens een kans zijn om onderscheidend te zijn en vertrouwen te wekken. Daarnaast grijpen sommige bedrijven de AVG aan om hun databestanden op te schonen, onder het motto ‘less is more’. Minder gegevens opslaan kan leiden tot lagere kosten en maakt het eenvoudiger de relevante informatie eruit te filteren.

Er zijn ongetwijfeld nog meer motieven te verzinnen om zorgvuldig met persoonsgegevens om te willen gaan. Zo’n insteek maakt het in elk geval aantrekkelijker om met de AVG aan de slag te gaan, dan vanuit de angst dat een klein datalek direct € 20 miljoen gaat kosten.


Jeroen Brouwer, Beleidsmedewerker Juridische zaken