Aanstaande week, 25 mei is de Algemene Verordening Gegevensbescherming (AVG) vier jaar van kracht. Nog steeds bestaan er veel mythes over de AVG. De 5 belangrijkste AVG-mythes. We ontkrachten ze in deze blog.
Mythe 1: De AVG is alleen van toepassing voor grotere organisaties
Dit is de eerste en grootste misvatting van. De belangrijkste 5 AVG mythes. De AVG geldt voor alle organisaties: van vereniging tot N.V. ongeacht het aantal medewerkers of leden. Dus ook bijvoorbeeld zzp-ers zijn gehouden te voldoen aan de AVG.
Ik vermoed dat dit misverstand is ontstaan door artikel 30 lid 5. Daarin is de generieke regel opgenomen dat de verplichting om een Register van Verwerkingsactiviteiten te houden niet voor organisaties met minder dan 250 medewerkers geldt. Echter de uitzonderingen op die regel die daarna volgen is dermate breed dat in de praktijk elke organisatie ook een Register op moet stellen.
Mythe 2: de AVG is alleen maar een extra belasting voor de organisatie
De 5 belangrijkste AVG-mythes: dit is slechts deels een mythe. Want ja, voldoen aan de AVG vraagt een aantal resources van de organisatie. Datalekken moeten worden bijgehouden, in sommige gevallen moet een Functionaris Gegevensbescherming benoemd worden, een Register van Verwerkingsactiviteiten moeten worden opgezet.
Bij veel organisaties leeft ook het idee dat de AVG innovatie in de weg staat en bijvoorbeeld het einde betekent van data-gedreven organisaties.
Niets is minder waar: de AVG biedt organisaties juist kansen. Zo blijkt dat 92% van de organisaties die voldoen aan de AVG een jaar na de invoering een aanzienlijke verhoging van klantcontacten en klantvertrouwen zag.
Uit onderzoek van CISCO bleek dat maar liefst 97% van de organisaties die AVG-compliant zijn:
- een concurrentievoordeel hadden
- aantrekkelijker werden voor investeerders
- een aanzienlijke verbetering van operationele efficiëncy zag.
Mythe 3: AVG is de zorg van de Functionaris Gegevensbescherming (FG) en CISO
Het lijkt er wel eens op dat AVG-compliancy en bescherming van persoonsgegevens vooral het feestje van de FG en CISO zijn.
Juist het tegenovergestelde is het geval. Wat betreft de rol van FG geldt dat deze alleen controlerend en adviserend is. De uiteindelijke verantwoordelijkheid ligt bij het management, directie of bestuur. Zij zijn verwerkingsverantwoordelijke.
Het voldoen aan de AVG is een inspanning van de hele organisatie. Immers de medewerkers van de organisatie zijn degene die de persoonsgegevens daadwerkelijk verwerken. Zij moeten signaleren als er iets niet goed gaat met de persoonsgegevens (datalek), zich realiseren dat een nieuwe activiteit wellicht het verwerken van nieuwe persoonsgegevens met zich meebrengt etc.
Mythe 4 Elke organisatie moet een Functionaris Gegevensbescherming hebben
Weer een mythe uit de belangrijkste AVG-mythes. Art. 37 AVG stelt een FG verplicht voor:
- publieke organisaties
- bedrijven die op grote schaal persoonsgegevens verwerken
- organisaties die op grote schaal bijzondere persoonsgegevens verwerken
Ook hier geldt dus weer dat de omvang van de organisatie er niet toe doet. De aantallen persoonsgegevens die worden verwerkt zijn wel een factor.
In Nederland gelden ook nog een aantal uitzonderingen. Zo hoeven bijvoorbeeld notarissen, advocaten, huisartsen geen FG te benoemen.
Kortom, zeker niet elke organisatie hoeft een FG aan te stellen. Wat onverlet laat dat ook als de verplichting er niet is, het soms toch verstandig is om wel een FG aan te stellen. De organisatie heeft daarmee een contactpunt voor de AP als die vragen heeft, bundelt de kennis op het gebied van de AVG en geeft hiermee ook een signaal aan klanten af hun privacy serieus te nemen.
Mythe 5: bij de AVG draait het allemaal om toestemming van de betrokkene
Zoals bekend is een grondslag, een juridische basis nodig om persoonsgegevens te verwerken. De AVG kent 6 grondslagen en deze zijn limitatief. Dat betekent dat een organisatie altijd moet kiezen uit één van deze grondslagen.
Zeker kort na de invoering van de AVG leek het of er maar één grondslag bestond: toestemming. Ten onrechte werd vaak gedacht dat als er maar toestemming werd gevraagd het wel goed zat. Toestemming is een zeer bewerkelijk grondslag en bovendien zijn er prima alternatieven.