Misvatting: Als de Autoriteiten niet in mij Geinteresseerd zijn, kom ik Nooit in Problemen

De misvatting

“Zolang de toezichthouder niet bij mij aanklopt, hoef ik me geen zorgen te maken over GDPR.”

Dit is een van de gevaarlijkste misvattingen die we tegenkomen. Veel ondernemers gaan ervan uit dat GDPR-handhaving werkt zoals een belastingcontrole: de overheid selecteert bedrijven en komt langs voor een inspectie. En zolang jij niet geselecteerd wordt, ben je veilig.

De werkelijkheid ziet er heel anders uit.

Waarom dit niet klopt

De GDPR (in het Nederlands de AVG, Algemene Verordening Gegevensbescherming) wordt grotendeels gehandhaafd op basis van klachten. Volgens gegevens van de European Data Protection Board begint ongeveer 89% van alle handhavingsacties met een klacht van een burger, niet met een proactief onderzoek door de toezichthouder.

Dat betekent dat het niet de toezichthouder is die je op de radar zet. Het zijn je eigen klanten, werknemers, ex-werknemers, leveranciers of zelfs concurrenten.

Hoe werkt dat in de praktijk?

Stel je voor: een klant vraagt je om zijn gegevens te verwijderen. Je reageert niet, of je reageert te laat, of je weet niet hoe je dat moet aanpakken. Die klant dient een klacht in bij de Autoriteit Persoonsgegevens (AP) in Nederland, of bij de Gegevensbeschermingsautoriteit (GBA) in Belgie.

De toezichthouder is verplicht die klacht te behandelen. Er komt een brief, je moet reageren, je moet aantonen dat je de regels naleeft. En als je dat niet kunt? Dan loopt het snel uit de hand.

De cijfers liegen niet

• De Nederlandse AP ontving in 2023 ruim 25.000 privacyklachten
• De Belgische GBA behandelde in 2023 meer dan 8.500 dossiers
• Het aantal klachten stijgt jaar na jaar, omdat burgers steeds beter weten wat hun rechten zijn
• In 2024 legde de AP boetes op aan organisaties van uiteenlopende grootte, van multinationals tot kleine bedrijven

Dit gaat niet over theorie. Dit zijn echte klachten van echte mensen die vinden dat hun privacy niet gerespecteerd wordt.

Wie dient er klachten in?

De klachten komen uit onverwachte hoeken:

• Ontevreden klanten die hun gegevens willen laten verwijderen
• Ex-werknemers die ontdekken dat hun gegevens nog steeds verwerkt worden
• Sollicitanten wiens cv nog steeds in je systeem staat, maanden na de sollicitatie
• Websitebezoekers die merken dat je cookies plaatst zonder toestemming
• Concurrenten die zien dat je niet aan de regels voldoet (ja, dat komt voor)

Het indienen van een klacht is eenvoudig. Bij zowel de AP als de GBA is er een online formulier. In een paar minuten is de klacht ingediend.

Wat je moet doen

Wachten tot er een probleem is, is de duurste optie. Dit is wat je nu kunt regelen:

1. Zorg dat je kunt reageren op verzoeken

Als iemand vraagt om inzage, verwijdering of rectificatie van gegevens, moet je binnen 30 dagen reageren. Heb je een procedure hiervoor? Weet je team wat ze moeten doen?

2. Breng je verwerkingen in kaart

Een verwerkingsregister is verplicht en het is je eerste verdedigingslinie bij een klacht. Als de toezichthouder vraagt hoe je persoonsgegevens verwerkt, moet je dat zwart op wit kunnen laten zien.

3. Stel je verwerkersovereenkomsten op

Elke externe partij die toegang heeft tot persoonsgegevens van jouw klanten of werknemers (boekhouder, e-mailtool, CRM) moet een verwerkersovereenkomst hebben.

4. Neem je privacyverklaring serieus

Niet kopieren van internet, maar een verklaring die daadwerkelijk beschrijft wat jij doet met persoonsgegevens.

Het goede nieuws

Je hoeft niet perfect te zijn. Wat de toezichthouder wil zien is dat je serieus met privacy omgaat en dat je de basis op orde hebt. Als er dan een klacht binnenkomt, kun je aantonen dat je je verantwoordelijkheid neemt. Dat maakt een wereld van verschil in hoe de zaak wordt afgehandeld.