Het Europese Hof heeft in recente uitspraken zoals UI vs. Österreichische Post AG duidelijk gemaakt dat schending van de AVG ook zonder concreet financieel nadeel kan leiden tot een schadevergoeding. Ondernemers kunnen met andere woorden aansprakelijk zijn voor het ‘gevoel van controleverlies’ bij een betrokkene. Denk bijvoorbeeld aan een onterecht gedeeld e-mailadres of een ongeautoriseerde toegang tot klantgegevens. Dat maakt het speelveld fundamenteel anders. Privacyclaims zijn dan ook niet meer voorbehouden aan grote datalekken bij multinationals: ook bij kleine incidenten is een schadevergoeding ineens reëel.
Binnen deze context wekt het geen verbazing dat steeds meer belangenorganisaties opdoemen die procederen namens groepen gedupeerden. Deze ontwikkeling maakt het voor bedrijven lastig om privacyrisico’s beperkt te houden. Zo hoeft je onderneming niet eens rechtstreeks benaderd te worden: als jouw organisatie persoonsgegevens onrechtmatig heeft verwerkt, kan een stichting namens honderden klanten, websitebezoekers of zelfs sollicitanten een claim indienen. Een voorbeeld is het gebruik van advertentiepixels zonder duidelijke toestemming of het automatisch opslaan van klantdata in externe tools zonder verwerkersovereenkomst. De risico’s zitten vaak in een kleine hoek.
Opvallend is dat veel ondernemers nog steeds denken dat privacy iets is ‘voor grote jongens’ of dat er pas problemen ontstaan bij echte hacks of datalekken. Dit terwijl de AVG van toepassing is op vrijwel alle organisaties. Zelfs een eenmanszaak die een nieuwsbrief verstuurt zal moeten kunnen aantonen dat daarvoor toestemming is gegeven. De bewijslast ligt bovendien bij jouw bedrijf als verwerkingsverantwoordelijke. En werk je samen met andere partijen – bijvoorbeeld marketingbureaus, softwareleveranciers of freelance recruiters – dan moet je kunnen aantonen dat ook zij netjes met de persoonsdata omgaan. Doe je dat niet, dan is jouw bedrijf verantwoordelijk voor wat er misgaat. En daar gaat het vaak mis.
Goede bedoelingen alleen volstaan helaas niet. Daarentegen zal je privacy steeds meer moeten borgen in je bedrijfsprocessen, je beleid en je tools. Dat hoeft niet complex te zijn, maar het vraagt wel aandacht. Zorg dat je niet alleen voldoet aan de regels, maar dat je ook kunt aantonen hoe je dat doet. Denk hierbij onder meer aan het bijhouden van een verwerkingsregister en een datacalamiteitenplan, het maken van risicoanalyses en het goed documenteren van verkregen toestemming en dataverwerking. Zeker indien je data doorspeelt naar derde partijen, zoals bij personeelsbeheer of e-mailmarketing, is het belangrijk dat je de hierover gemaakte afspraken waterdicht vastlegt in verwerkersovereenkomsten. En niet te vergeten: een goede privacyverklaring op je website die aansluit bij je interne privacybeleid.
Heb je vragen over dit onderwerp? Neem vrijblijvend contact met ons op.
Auteur: Niels Vanaken
