Print:

Boetes niet het enige risico van niet-AVG-compliant zijn

Tijs Hofmans, Journalist

LinkedIn profiel

Bedrijven moeten een eindsprint maken om vóór 25 mei 2018 AVG-compliant te zijn, maar is dat alleen vanwege de boetes? We spraken erover met Jean Paul van Schoonhoven, partner bij privacyadviesbureau Legal2Practice.

De grootste dreiging voor bedrijven die hun zaken niet op orde hebben is de boete die zij kunnen krijgen. Die kan hoog oplopen: maximaal 20 miljoen euro, of 4% van de jaaromzet van een bedrijf. “Dat is vooral voor middelgrote bedrijven een behoorlijke klap”, denkt Van Schoonhoven.

De boetes worden in Nederland voornamelijk uitgedeeld door de Autoriteit Persoonsgegevens, de nationale toezichthouder op privacygebied. Vlak na de transitie van het College Bescherming Persoonsgegevens naar de huidige AP verklaarde nieuwe baas Aleid Wolfsen dat ‘de waakhond nu echt tanden gaat krijgen.’ Boetes zouden wel degelijk gaan verschijnen, en de kritiek dat de AP regelmatig als waakhond niet durfde te bijten zou teniet worden gedaan. Tot nu toe is het daar nog niet echt van gekomen, maar dat moet in mei veranderen.

Jean Paul van Schoonhoven

Grote zaak

Van Schoonhoven denkt dat de toezichthouder meteen voor een grote zaak gaat. Niet expres, maar omdat de AP dagelijks veel signalen krijgt en dat een aansprekende zaak daar eerder uitspringt en de zichtbaarheid van de AP vergroot. Denk bijvoorbeeld aan de Uber-hack die de afgelopen periode in het nieuws kwam en waar de AP het onderzoek in de hele Europese Unie leidt. “De toezichthouder gaat vaak voor een steen in de vijver effect door per sector een organisatie aan te pakken die veel mensen kennen. Dat schudt de hele betreffende sector dan ineens wakker.”

Operationeel risico

Boetes zijn voor de meeste bedrijven op korte termijn de belangrijkste drijfveer om AVG-compatibel te worden, denkt Van Schoonhoven. “De dreiging van een hoge boete zorgt voor een immens operationeel risico. Slechte gegevensbescherming kost dan namelijk veel geld.

Maar volgens Van Schoonhoven gaat dat operationele risico om veel meer dan alleen geld. Blijvende reputatieschade kan funest zijn. “Als je bij een incident het vertrouwen van je klanten kwijtraakt kost dat zowel direct als indirect geld. En het zijn niet alleen klanten, maar ook externe stakeholders zoals de politiek, consumentenorganisaties, de publieke opinie en medewerkers en ondernemingsraden waar rekening mee moet worden gehouden.”

Schadelijk voor bestuurders

Ook voor de bestuurders of toezichthouders in een bedrijf kan slechte gegevensbescherming of het bewust negeren van het belang er van, leiden tot bestuurdersaansprakelijkheid. “Dat is natuurlijk niet goed voor je cv, dus daar zullen bestuurders gevoelig voor zijn.” Daarnaast kan het leiden tot het oordeel dat er sprake is van wanbeleid met alle gevolgen van dien.

Moeilijk te voorkomen

In Nederland zijn bedrijven al enigszins voorbereid op de AVG door de invoering van de meldplicht datalekken, en de boetebevoegdheid van de AP sinds 1 januari 2016. Er moet echter nog veel meer gebeuren voordat bedrijven voldoen aan de AVG, en makkelijk is het al helemaal niet.

Volgens Van Schoonhoven kun je als bedrijf niet alles in de hand hebben om data te beschermen. “Je security practices kunnen nóg zo goed zijn, er hoeft maar één medewerker met een kwade intentie te zijn die je hele klantbestand online zet of juist een medewerker die uit onwetendheid hetzelfde doet en je hebt een levensgroot probleem. Daar is weinig tegen te doen met alleen een juridische benadering en het nastreven van IT en beleidscontrols.”

Méér doen dan alleen compliant zijn

Daarom wordt er tijdens een risk assessment vooral gekeken naar hoe goed een bedrijf voorbereid (resilient) is op incidenten én hoe het dus reageert op bijvoorbeeld datalekken. Van Schoonhoven: “Je moet méér doen dan alleen juridisch compliant zijn. Je moet veelal de hele veiligheidsstructuur van je bedrijf verbeteren en de cultuur en het gedrag van medewerkers veranderen, en dat kost tijd en dus ook geld.”

Het gaat nog wel even duren voor de eerste boetes er komen, denkt Van Schoonhoven. “Het uitdelen van zulke boetes is een gecompliceerd proces. Het duurt lang voor een zaak rond is, en vaak gaat die nog onderuit in de rechtbank.” Maar dat is ook niet zo erg, denkt hij. “Het punt is dan al gemaakt.”

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten