Index
AVG Tekst
Vanuit Privy werken we dagelijks op het snijvlak van ICT, Techniek, Bewustwording, ISO standaarden zoals ISO27000, -31000, de NEN7510 en de AVG.
Wat wij nog iedere dag meemaken is toch weer de stap terug naar de wettekst. “Hoe zit het nu ook alweer precies?” is bij ons een veel gehoorde uitspraak. Uiteindelijk blijkt regelmatig dat veel (zelfbenoemde) experts het online allemaal zo goed weten, tot je er zelf even goed in duikt. Nee, niet vluchtig, goed. Goed lezen, begrijpend lezen, met in je achterhoofd het doel van de AVG.
De tekst van de AVG lezen wij bij voorkeur van het scherm. Hiervoor gebuiken wij de volgende website: http://www.privacy-regulation.eu/nl/index.htm .
Het mooie aan deze site is dat alle relevante artikelen en kruisverbanden van een hyperlink zijn voorzien. Samenhang in de AVG tekst wordt dan erg makkelijk inzichtelijk gemaakt. Maar dan nog; goed, begrijpend lezen blijft van belang.
Doel van de AVG
Wat ons betreft is het doel van de AVG drievoudig.
Ten eerste het in Europa zo veel mogelijk gelijktrekken van privacy wetgeving zodat we makkelijk(er) handel kunnen drijven. Ten tweede meer grip krijgen op de verwerkingen binnen grote persoonsgegevens verwerkende organisaties. Ten derde de burger meer handvatten geven om meer controle over de eigen persoonsgegevens te faciliteren.
En dan goed lezen.
Wat staat er nu letterlijk en is er verduidelijking vanuit de Artikel 29 Data Protection Working Party beschikbaar? (https://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358)
Je leest en hoort overal van alles, wij hebben ondertussen heel veel experts uitingen horen en zien doen die toch niet helemaal blijken te kloppen.
Ons motto?
Be sure brain is in gear before engaging mouth.
Handleiding AVG
Wanneer je zoekt naar “Handleiding AVG”, kom je letterlijk om in de resultaten. Iedere weldenkende organisatie heeft wel zijn eigen versie. De Handleiding AVG en Uitvoeringswet AVG van de overheid (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleidingalgemeneverordeninggegevensbescherming.pdf ) is een duidelijk document en biedt precies dat wat het zegt; een handleiding.
De Handleiding er bij nemende en dan doorpakkend naar het 10 stappenplan voor de implementatie van de AVG valt ons op dat in veel stappenplannen de term “privacy” vaak voor komt.
Echter, wanneer je de AVG wettekst doorzoekt op het woord “privacy”, krijg je maar 1 resultaat en die staat zelfs in een voetnoot. Zoek je echter op het woord “risico”, dan krijg je ruim 70 hits. Voor ons is dit een duidelijke richting; de implementatie van de AVG is risico gebaseerd op te pakken.
Welke risico’s identificeer je dan?
Het meest belangrijke is wat ons betreft om alle externe factoren te identificeren die er toe kunnen leiden dat je als organisatie met de AVG aan de slag moet.
Deze externe factoren zijn ons inziens:
- Een datalek
- Uitoefening recht op inzage
- Uitoefening recht op correctie
- Uitoefening recht op vergetelheid
- Uitoefening recht op bezwaar
- Het cookiestatement
- Het Privacybeleid
Dit zijn allemaal factoren die vanuit onder andere de AVG je tot AVG gerelateerde werkzaamheden kunnen dwingen. Factoren van buitenaf waar je derhalve weinig vat op hebt. Dit zijn wat ons betreft dan ook de 7 zaken die je als eerste geregeld dient te hebben.
Daarna stap je door naar (o.a.) het aanleggen van een verwerkingsregister, een incidentenregister, start je de risico analyse voor de organisatie en werk je aan bewustwording binnen je organisatie.
De Handleiding AVG en Uitvoeringswet AVG bieden je een goede leidraad om er naast te hebben maar wees je bewust van de externe factoren die je tijdens het doorlopen van een stappenplan voor AVG implementatie kunnen inhalen.
Boete AVG
De Algemene Verordening Gegevensbescherming (AVG) en boetes, een reden voor veel mensen in de markt om angst te zaaien en diensten te verkopen. Zo zitten wij er niet in. Deze blog gaat over hoe het nu echt zit met de AVG en boetes.
Afgelopen 14 maart heeft de Autoriteit Persoonsgegevens (AP) de boetebeleidsregels aangepast1.
De reden dat de AP het beleid heeft opgesteld is omdat de European Data Protection Board (EDPB) nog geen gezamenlijke uitgangspunten voor de berekening van boetes heeft vastgesteld1.
Hoe zit het dan met de boetes?
Uiteindelijk is dè bron om dat uit te zoeken de Staatscourant. Hier te downloaden: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586.pdf .
Het leuke van het lezen van de Staatscourant is dat je de overlap/samenhang tussen de verschillende wetten ziet. (Overigens nooit gedacht dat ik de woorden “Staatscourant” en “leuk” in één zin zou gebruiken.)
Ruwweg zijn er twee categorieën van vergrijpen waarvoor de AP boetes uitdeelt . De eerste kent iedereen van de waarde en het percentage: “€ 10.000.000 of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is”. Deze boete kan worden opgelegd wanneer je als Verantwoordelijke niet je verplichtingen uit de AVG nakomt “….zoals de verplichting van het bijhouden van een verwerkingsregister.1” (Mocht dit nog een “O ja, moet ik nog steeds doen” - dingetje zijn, kijk eens op https://AVGRegister.nl.)
De tweede kent ook bijna iedereen voor wat betreft waarde en het bijbehorende percentage: “€ 20.000.000 of 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is”.
Deze boete kan worden opgelegd wanneer je als Verantwoordelijke de beginselen of grondslagen van de AVG of de privacyrechten van Betrokkenen overtreedt1.
Daarnaast heeft de AP “Basisboetes” gedefinieerd, afhankelijk van de categorie waarin het vergrijp valt zijn er verschillende basisboetes. In de Staatscourant wordt duidelijk uitgelegd hoe zij tot de hoogte van de basisboetes zijn gekomen. Voor de twee eerder genoemde categorieën van vergrijpen is de minimale basisboete € 100.000, de maximale is € 725.000.
Vervolgens kan daar nog een extra boete bovenop komen doordat het vergrijp ook nog kan vallen onder een andere wet. De wetten die raakvlakken hebben met de AVG worden specifiek genoemd en zijn:
• de AVG Uitvoeringswet, valt boete technisch onder de twee eerder vermelde categorieën,
• de Telecommunicatiewet, EU-Verordening nr 910/2014 eIDAS2 , en de Algemene wet Bestuursrecht; de maximale boete vanuit deze wetgeving bedraagt € 900.000, en
• de Wet politiegegevens en de wet justitiële en strafvorderlijke gegevens, de vergrijpen die hiervoor gedefinieerd zijn kennen een maximale boete van € 830.000 of € 83.000 .
De boetebevoegdheid van de AP is dus niet beperkt tot de AGV specifieke basisboetes. De AP heeft ook de bevoegdheid om boetes uit te delen die gerelateerd zijn aan wetgeving zoals hiervoor vernoemd. De artikelen die de basis vormen voor de boetebevoegdheid worden specifiek vermeld in de toelichting op de beleidsregels in de Staatscourant (nr 14586).
Om alles nog in het juiste perspectief te zetten en toch geen angst te zaaien; de AP heeft ook de bevoegdheid om boetes te verlagen of niet toe te kennen wanneer zij dat nodig acht.
Kortom, mocht er op AVG gebied nou één en ander niet goed gaan/zijn en de AP komt langs voor een controle; je hoeft je nergens druk om te maken zolang je maar kunt aantonen dat je genoeg moeite doet om de AVG na te leven en te handelen in het belang van de Betrokkenen. Gelukkig heeft de AP ook een adviserende taak, we zitten immers geen van allen op een tweede AFM als waakhond te wachten.
1 https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-past-boetebeleidsregels-aan
2 eIDAS, electronic IDentification Authentication and trust Services
Het verwerkingsregister
Er doen veel verhalen de ronde over het verwerkingsregister.
Commentaren die we voorbij hebben zien komen zijn zoal:
“Ik ben een organisatie die minder dan 250 personen in dienst heeft en heb dus geen register nodig”, en
“Ik mag het register alleen in Excel invoeren”, en
“Ik verwerk alleen persoonsgegevens in het kader van een salaris verwerking en daarvoor geld het vrijstellingsbesluit van de Wpb”.
Bovenstaande beweringen zijn niet juist. Iedereen (ja IEDEREEN) die structureel persoonsgegevens verwerkt moet een register van verwerkingen ofwel een verwerkingsregister aanleggen. (De oorspronkelijke tekst op de website van de AP is: ”De verwerking van persoonsgegevens is niet incidenteel”). Een salaris verwerking is al een gestructureerde verwerking! Er zal dus bijna geen organisatie zijn die geen register nodig heeft. Kijk eens op de website www.avgregister.nl, hier staat een effectieve oplossing.
AVGregister.nl is een online verwerkingsregister voor alle kleine tot middelgrote ondernemingen die iets moeten met de AVG (en de kosten vallen alleszins mee in vergelijking met andere online oplossingen). Het bevat alle verplichte velden plus een aantal aanvullende velden die, van uit onze visie, handig zijn om in het register op te nemen. Uiteraard kan er ook gerapporteerd worden vanuit het register richting het management als ook richting de Autoriteit Persoonsgegevens (AP) indien dat nodig is. Het rapport voor de AP bevat alléén de verplichte velden en laat de overige velden links liggen. U hoeft namelijk geen tactische of strategische informatie met de AP de delen, die zijn van u!
Verwerkingsregister voorbeeld
Bij het invullen van een nieuwe verwerking binnen avgregister.nl leggen we als eerste de nadruk op de verplichte velden door deze als eerste uit te vragen.
De verplichte gegevens die u moet vastleggen zijn (bron - Autoriteit Persoonsgegevens http://bit.ly/Verantwoordingsplicht):
- de naam en contactgegevens van uw organisatie of de vertegenwoordiger van uw
organisatie en de eventuele andere organisaties met wie u gezamenlijk de doelen en
middelen van de verwerking heeft vastgesteld;
- wie de functionaris voor de gegevensbescherming (FG) is als u die heeft aangesteld
- eventuele internationale organisaties waar u persoonsgegevens mee deelt.
- de doelen waarvoor u de persoonsgegevens verwerkt.
- een beschrijving van de categorieën van personen van wie u gegevens verwerkt.
- een beschrijving van de categorieën van persoonsgegevens.
- de bewaartermijn (als dat bekend is).
- de categorieën van ontvangers aan wie u persoonsgegevens verstrekt.
- het delen van de persoonsgegevens buiten de Europese Economische Ruimte (EER)
- en als laatste een algemene beschrijving van de technische en organisatorische
maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.
Bovenstaande eisen komen voort uit Artikel 30 van de AVG "Register van de verwerkingsactiviteiten”. Deze kunt u makkelijk nalezen op de website van https://www.privacy-regulation.eu/nl/index.htm. (Deze website is uitermate praktisch als naslag).
Daarnaast leggen wij graag additionele zaken vast zoals bijvoorbeeld de grondslag waarop de verwerking gebaseerd is. De reden waarom we deze willen weten is dat wanneer er geen grondslag is, de verwerking niet mag plaatsvinden. De grondslag is terug te vinden in art 6 van de AVG "Rechtmatigheid van de verwerking”. Ook deze kan je natuurlijk terug vinden op de website van https://www.privacy-regulation.eu.
Neem vooral een kijkje op de website www.avgregister.nl en vraag een demo account aan!
De AVG en jouw vereniging
Iedereen is wel ergens lid van, een rugby vereniging of een judo club. Je laat daar persoonsgegeven achter om aan je lidmaatschap te kunnen voldoen en bijvoorbeeld het verenigingsnieuws te ontvangen. Ook ik ben lid van verenigingen en heb mijn naam, adres, e-mail adres en telefoonnummer verstrekt aan het bestuur.
Ik ben lid van een volkstuinvereniging in mijn woonplaats en daar is door het bestuur nagedacht over de AVG in het kader “de AVG voor verenigingen, wat gaan wij er mee doen en wat voor impact heeft die op de leden”.
Hartstikke goed zou je zeggen ware het niet dat ze zijn doorgeschoten. Ze delen geen ledenlijst meer omdat dit niet mag van de AVG. Wat een kolder! Een mooi voorbeeld van wat wij “AVG verkramptheid” noemen.
De AVG is niet in het leven geroepen door de Europese Commissie om het handelen van organisaties, zoals verenigingen, onmogelijk te maken maar om organisaties bewust te laten zijn van de verantwoordelijkheid welke men heeft ten aanzien van, de door de betrokkene uitgeleende, persoonsgegevens (naast het creëren van een gelijk economisch speelveld voor bedrijven binnen de Europese Economische Ruimte). Uiteindelijk zal je zien dat de persoonsgegevens uit eerder gedeelde bestanden gebruikt gaan worden en dat fouten in het bestand niet meer gecorrigeerd worden. Wat dit voor je vereniging doet laat zich raden… Met andere woorden, “bezint eer ge begint”.
Conclusie is dat de AVG er niet is om het handelen van verenigingen onmogelijk te maken. Verenigingen, de naam zegt het al, zijn van de leden, voor de leden. Laat je dus niet intimideren door horror scenario’s van enorm hoge boetes die uitgedeeld gaan worden. Ga “gewoon” goed om met de persoonsgegevens binnen je vereniging en gebruik ze alleen voor het doel waar ze voor verzameld zijn. Namelijk de administratie en voor het laten functioneren van je vereniging.
De AVG voor verenigingen
Ik wil het hier niet hebben over bijvoorbeeld de ANWB maar over kleine verenigingen zoals een volkstuin- of schaakvereniging, gerund door vrijwilligers.
Waarom is de vereniging in het leven geroepen? Dat is de vraag die je als bestuur moet stellen als je het gaat hebben over de AVG. Dat bepaalt namelijk de doelbinding(en) voor het verzamelen van de persoonsgegevens van de leden.
Bijna alle verenigingen innen lidmaatschapsgelden (overeenkomst) en de meeste hebben een periodiek informatief nieuwsblad. Daarnaast kan het doel zijn om de leden met elkaar in contact te brengen om de samenhang tussen de leden te vergroten of kennis te laten delen dan wel dat taken die voortkomen uit een lidmaatschap vlekkeloos te laten verlopen. Een voorbeeld bij mijn volkstuinvereniging is dat je elke 8 weken “tuindienst” hebt en daar zelf vervanging voor moet regelen indien je verhinderd bent. Om dit te realiseren zal je dus, als vereniging, gegevens van leden onder de leden moeten delen. Bijvoorbeeld via de mail of het verenigingsblad maar natuurlijk niet als openbare lijst op de vereningingswebsite die ook door niet leden is in te zien!
Indien een lid bezwaar heeft tegen het delen van zijn of haar persoonsgegevens kan je verwijzen naar de statuten waarin je hebt opgenomen dat de vereniging onder andere tot doel heeft de samenhang tussen de leden te vergroten. Een kandidaat lid gaat akkoord met de statuten en huishoudelijk reglement wanneer het lid wordt en zal zich dus moeten houden aan de regels en afspraken.
Als nu blijkt dat een algemene leden vergadering zou besluiten dat de gegevens niet meer gedeeld zou mogen worden met de leden dan zou je je kunnen afvragen of een vereniging op termijn nog wel kan blijven bestaan.
AVG bewaartermijnen
Verzameldwang of zelfs verzamelwoede is voor de meeste mensen geen onbekend gevoel. Zolang je iets niet hoeft weg te gooien stellen we het graag nog even uit, want, immers, wie weet. Totdat het in de weg gaat staan, dan ontkomen we er niet meer aan. En meestal is het dan geen probleem meer, want dan weten we echt dat het wel definitief weg kan. Ruimtelijke beperkingen zorgen ervoor dat we er op een gegeven ogenblik niet aan ontkomen. Dit geldt echter niet voor de ons beschikbare digitale ruimte, daar kunnen we haast ongebreideld ‘dingen’ bewaren. Zo fijn, maar helaas is met de komst van de AVG daar een eind aan gekomen.
Sinds de AVG geldt er ook een ‘keiharde’ opslagbeperking in de ons beschikbare digitale ruimte. Wanneer gegevens niet langer noodzakelijk zijn, de bewaartermijn overschreden is, dan moeten zij worden vernietigd of gewist. En een bewaartermijn is overschreden wanneer het geen doel meer dient om ze langer te bewaren als organisatie. Nog langer bewaren levert alleen maar meer risico op voor de betrokkenen wiens persoonsgegevens het betreft. Dus als je als organisatie weet wanneer (de bewaartermijn!) het zijn doel heeft gediend dan moeten ze gewist worden.
Privy ondersteunt haar klanten voor wat betreft bewaartermijnen op drie vlakken:
1 Kritisch meedenken in het vaststellen van bewaartermijnen.De 5x Waarom methode doet wonderen;
2 Door een handig overzicht van wettelijk bepaalde bewaartermijnen in avgregister.nl op te nemen. Altijd bij de hand, waar je het het hardst nodig hebt;
3 Data discovery tooling. Als de klant weet waarom hij welke persoonsgegevens verzamelt en opslaat in ongestructuurde vorm (lijsten, dossiers, etc.) dan kunnen wij het terugvinden.
De AVG in een notendop
In een woord: risico-management.
Vreemd genoeg lijkt veel van de verwarring en discussie rondom de AVG, van wat wel en niet mag, voort te komen uit een benadering van de wet; “het gaat over privacy in de meeste brede zin en de A van AVG staat voor anonimiteit. In mijn dagelijkse praktijk moet ik regelmatig betrokkenen losweken van deze insteek en ze focussen op de G van gegevensbescherming. Als dat geen indicatie is waar het om gaat, wat dan wel.
Gegevensbescherming is een deelgebied van informatiebeveiliging en voordat met beveiligen en beschermen begonnen kan worden moet duidelijk zijn welke (persoons-)gegevens er zijn en rondgaan.
Door structureel te borgen dat je als organisatie weet hebt van de risico's rond de informatiebronnen en informatiestromen van binnen naar buiten en vice versa, is de belangrijkste stap gemaakt om 'in control' te zijn, zoals de AVG dit vereist. De informatiehuishouding moet eigenlijk net zo op orde zijn als dat een gezonde financiële huishouding nagestreefd wordt.
Uit dit begrip en in control zijn vloeit veel makkelijker voort wat er in het verwerkingsregister moet staan, met welke partijen er al dan niet een verwerkersovereenkomst afgesloten moet worden en hoe zwaar die aangezet moet worden, vanuit welke hoe je je de meeste zorgen moet maken m.b.t het gevaar van datalekken en 'last but not least' waar en bij wie in de organisatie de bewustwording rondom de bescherming van persoonsgegevens prioriteit behoeft.
AVG Betekenis
In de dagelijkse praktijk wordt vaak de betekenis van de AVG gekoppeld aan het begrip privacy. Of erger nog aan het begrip anonimiteit. Alsof de A van AVG daarvoor staat. Regelmatig moet ik dan ook nog klanten en collega’s losweken van deze notie en ze focussen op de G van gegevensbescherming. Hierin ligt de betekenis van de AVG. Specifieker nog: Welke risico’s zijn er te onderkennen voor betrokkenen bij de verwerking van hun persoonsgegevens. En wat kan redelijkerwijs verwacht worden om die risico’s te verminderen.
Gegevensbescherming is een deelgebied van informatiebeveiliging en voordat met beveiligen en beschermen begonnen kan worden moet duidelijk zijn welke (persoons-)gegevens er zijn en rondgaan: van binnen naar buiten en vice versa. Waarbij de hoofdvraag is wat daarbij fout zou kunnen gaan, hoe groot de kans daarop is en hoe erg het dan is.
Voor de uitvoering van een risicoanalyse voor informatiebeveiliging maken wij als Privy graag gebruik van de tool die ter beschikbaar wordt gesteld op de RAVIB website (ravib.nl). Ravib is een initiatief van Hugo Leisink die met Ravib.nl een verhelderende aanpak heeft gerealiseerd. Hierbij worden, door middel van het doornemen van een lijst met mogelijke dreigingen, maatregelen uit de ISO 27002 standaard, geselecteerd die doorgevoerd kunnen worden om de vastgestelde risico’s tegen te gaan. Een eerste belangrijke stap om risico’s 'in control' te krijgen, zoals de AVG dit vereist.
Uit dit begrip en in control zijn vloeit veel makkelijker voort wat er in het verwerkingsregister moet staan, met welke partijen er al dan niet een verwerkersovereenkomst afgesloten moet worden en hoe zwaar die aangezet moet worden, vanuit welke ‘informatiestroom’ je je de meeste zorgen moet maken m.b.t het gevaar van datalekken en 'last but not least' waar en bij welke medewerkers(categorieën) in de organisatie de bewustwording rondom de bescherming van persoonsgegevens prioriteit behoeft.
Kortom de diepere betekenis van de AVG ligt in de ‘checks and balances’ rondom de risico’s in de informatiehuishouding, die net zo op orde dienen te zijn als bij een gezonde financiële huishouding.
Autoriteit Persoonsgegevens en de AVG
Wie dagelijks in de auto zit van en naar werk of naar relaties toe, doet dit regelmatig onder tijdsdruk. Soms vertrek je domweg toch net iets te laat en soms krijg je geheel onverwacht met oponthoud te maken, zoals een file door een ongeluk of door wegwerkzaamheden. Je moet dan een risico-inschatting maken of en hoeveel kilometer harder je zou moeten gaan rijden om toch nog op tijd te komen of de klant niet hands-free te bellen dat je te laat bent. Heb je net een boete betaald, dan maak je een iets andere inschatting dan wanneer je niet meer weet wanneer je voor het laatst een boete hebt betaald.
In deze situatie zit ondernemend Nederland nu ook met betrekking tot de boetes vanuit de Autoriteit Persoonsgegevens vanwege overtredingen van de Algemene Verordening Gegevensbescherming (AVG).
Sinds vorig jaar mei de AVG van kracht is, zijn 91 bedrijven beboet voor een totaal bedrag van 56 miljoen euro. Echter, 50 miljoen euro hiervan was voor Google. Iedere partij die geen Google ziet in een oogopslag dat 90 bedrijven ‘maar’ 6 miljoen moesten betalen. In heel Europa!
Kortom er zijn nog zo weinig boetes uitgedeeld dat er nog geen duidelijk referentiekader is om de ‘mate van AVG non-compliance’ af te zetten tegen boete-aversie. Ook het AP beseft zich dit en past langzaam maar gestaag haar modus operandi aan van voorlichting en uitleg naar onderzoek en handhaving (c.q. boetes). Dat is ook logisch, want wie wil er nou een ‘bromsnor’ die meteen met boetes begint. Liever toch ‘oom agent’ die vriendelijk vraagt of de pet ons allemaal past. Maar, vroeg of laat, boetes horen erbij.
Grondslagen AVG
Om persoonsgegevens te mogen verwerken moet er een zogenaamde “grondslag” vanuit de Algemene Verordening Gegevensbescherming (AVG) zijn.
Wat is een “grondslag” eigenlijk?
“Grondslag” is in dit geval te begrijpen als een “beginsel” of “uitgangspunt”, ook wel “basis”. De grondslag voor een verwerking is daarmee het uitgangspunt voor jouw organisatie waarom je persoonsgegevens mag verwerken zoals je dat doet.
De AVG kent 6 grondslagen, te weten:
1. Toestemming,
2. Vitale belangen,
3. Wettelijke verplichting,
4. Overeenkomst,
5. Algemeen belang, en
6. Gerechtvaardigd belang.
Kijk op http://www.privacy-regulation.eu/nl/artikel-6-rechtmatigheid-van-de-verwerking-EU-AVG.htm voor meer informatie hieromtrent.
Wanneer je niet één van deze grondslagen aan je verwerking kunt toekennen is de verwerking in principe onrechtmatig en zou je er mee moeten stoppen.
Van deze zes grondslagen is er één lastig, en dat is “toestemming”. Dit is een grondslag die je eigenlijk niet wil gebruiken. Betrokkenen kunnen uitermate eenvoudig hun recht op bezwaar uitoefenen waardoor de toestemming wordt ingetrokken. De basis van je verwerking is dan ook erg instabiel.
Het daadwerkelijk nut van een grondslag is onder andere dat je stil staat bij je verwerkingen; waarom doe ik dit? (doelbinding) Kan ik deze verwerking ook met minder persoonsgegevens doen? (gegevens minimalisatie) Kan ik het beoogde resultaat ook op een andere manier bereiken dan met deze verwerking? (subsidiariteit)
Het feit dat een grondslag de basis vormt voor de rechtmatigheid van je verwerkingen houdt ook in dat daar op gecontroleerd kan worden. Met het aanpassen van de boetebeleidsregels door de Autoriteit Persoonsgegevens afgelopen 14 maart is ook duidelijk te zien in welke boete categorie de grondslagen vallen, namelijk de € 20.000.000 of 4% van de wereldwijde omzet van het voorgaande boekjaar, indien dat cijfer hoger is.
De boetecategorie is in dit geval III, voor artikel 6 uit de AVG. De basisboete hier bedraagt € 525.000, dat is niet gering. Uiteraard moet je het wel heel bont hebben gemaakt wil je een boete als deze krijgen, je moet dan de AVG consequent links hebben laten liggen. In de “Toelichting op de Beleidsregels” van de Staatscourant nr 14586 staat op pagina 14, de laatste alinea beschreven met welke factoren de AP rekening houdt bij het opleggen van de boete. Het staat de AP vrij om, gebruikmakend van deze factoren, “door”- of ‘terug”-te schieten in het opleggen van de boete.