skip to Main Content

5 tips om een AVG boete te voorkomen

Jesper Mommers

Boetes onder de wet bescherming persoonsgegevens kwamen al regelmatig voor, maar nu de AVG gehandhaafd gaat worden, zullen we waarschijnlijk nog vaker boetes in het nieuws voorbij zien komen. Toch kun je eenvoudig een boete voorkomen. Wij geven je vijf tips hoe je zo een AVG boete kan voorkomen.

Tip 1: Leg al je keuzes vast

De AVG verplicht bedrijven om een hele boekhouding aan te leggen met betrekking tot persoonsgegevens, privacy en informatiebeveiliging. Dat is nodig zodat dit eenvoudig opvraagbaar is als de Autoriteit Persoonsgegevens vermoed dat privacy in het geding is. In de praktijk zal waarschijnlijk blijken dat ook al is de privacy in het geding geweest, maar je hebt je keuzes voor bepaalde verwerkingen goed gedocumenteerd, je geen boete opgelegd zult krijgen. De wet is voornamelijk vormgegeven om ons te laten nadenken over privacy en persoonsgegevens.  En al maken we een keer een foute beslissing, dan hoef je nog steeds geen boete opgelegd te krijgen. De AP kan dan echter wel de verwerking verbieden.

Tip 2: Update je database ook al heb je geen expliciete opt-ins in het verleden vastgelegd

Heb je vóór 25 mei 2018 e-mailadressen verzameld maar niet correct opt-in gegevens hierbij geregistreerd? De één zal met de handen in het haar zitten, maar slimme marketeers vinden hier zeker een uitweg in. We geven je twee opties: 1) opnieuw toestemming vragen door een e-mail uit te sturen en maar hopen dat je prospects op die bewuste knop gaan klikken – het risico hiervan is dat dit veel afbreuk op je database zal betekenen; of 2) je kan prospects van je privacybeleid op de hoogte stellen en aangeven dat zij in je privacybeleid kunnen terugvinden hoe zij hun rechten kunnen uitoefenen. Daarbij documenteer je dat je dit op {datum} om {tijd} uur hebt gedaan. Geef daarbij expliciet aan dat wanneer er geen uitschrijving plaatsvindt je er van uit gaat dat er in het verleden toestemming is gegeven en dat je de genoemde datum en tijd hanteert als hernieuwd moment van toestemming.

Tip 3: Toets je collega’s, je werkzaamheden en je marketingactiviteiten

Wanneer je je hebt ingelezen over de AVG op de website van de AP en er redelijke kennis van hebt, kun je een toets opstellen. Aan de hand daarvan kun je je collega’s, procedures, werkzaamheden en marketingactiviteiten toetsen op compliancy. Zijn zij voldoende op de hoogte? Voeren zij activiteiten uit die wellicht in strijd zijn met de AVG? Zijn jouw werkzaamheden en procedures compliant? Op deze manier ontdek je eenvoudig risicogebieden en kun je daar tijdig op schakelen.

Tip 4: Breng je data-keten inzichtelijk

Je data-keten is een cruciaal onderdeel van je bedrijfsvoering. Geen enkel bedrijf zal zonder een bepaalde data-stroom werken. Maar weet je waar alle persoonsgegevens heengaan? Waar alle data is opgeslagen? Is dat bijvoorbeeld in de EU of misschien in de VS? Hoe lang wordt alle data bewaard en hoe lang blijven back-ups bewaard? Check dus je leveranciers van je CRM systeem, website en hosting, marketing automation pakket, et cetera. Maak indien nodig afspraken met je (sub-) verwerkers over de bewaartermijnen en welke data ze precies mogen vastleggen. Stel daarnaast een document voor jezelf op om al deze partijen in kaart te brengen.

Tip 5: Bewaar alle documentatie op één centrale plek

De AVG boekhouding of beter gezegd de informatieboekhouding bewaar je op een centrale plek. Er zijn genoeg partijen die hier commercieel op ingesprongen zijn en je een platform aanbieden. Maar ook gewoon op je interne schijf behoort tot de mogelijkheden. Weliswaar afgeschermd, intern beschikbaar en alle documenten bij elkaar verzameld. Met de nadruk op alles bij elkaar. Ik kan me namelijk heel goed voorstellen dat je naast alle documentatie nog een wirwar aan documenten hebt, zoals de verwerkersovereenkomsten met je leveranciers. Dus het advies is, bewaar alles in één hoofdmap, ZIP deze map wanneer de AP informatie opvraagt, zodat je deze eenvoudig kunt overhandigen. Dat verkleint het risico op een AVG boete!

Disclaimer: Wij zijn geen juridisch adviesbureau noch de Autoriteit Persoonsgegevens en geven enkel vrijblijvend advies over hoe je met de nieuwe wetgeving zou kunnen omgaan. Aan dit bericht kunnen echter geen rechten worden ontleend.


Jesper Mommers | Marketing Technologist
+31 (0)13 528 73 07 | LinkedIn
Back To Top