Veel organisaties verwachten dat contact met de Autoriteit Persoonsgegevens begint met een formele brief of een langdurig onderzoekstraject. In de praktijk blijkt dat steeds minder vaak het geval. De AP kiest namelijk steeds vaker voor een directe en praktische aanpak. Dat betekent dat je ineens gebeld kunt worden, of een e-mail ontvangt met vragen over hoe jij met persoonsgegevens omgaat. Niet pas na maanden, maar soms al kort nadat er een klacht is ingediend.
Een concreet voorbeeld uit de praktijk
Neem een Nederlandse organisatie die een e-book aanbiedt via haar website. Een gebruiker uit Duitsland downloadde dit e-book en ontving vervolgens ook e-mails met updates en marketing. Op zich niet ongebruikelijk, maar in dit geval ging er iets mis:
het vinkje voor toestemming stond niet goed ingesteld in het formulier. De gebruiker had dus geen geldige toestemming gegeven voor deze mails en diende een klacht in.
Wat daarna gebeurde, verraste de organisatie. In plaats van een langdurig traject nam de AP relatief snel contact op. De organisatie kreeg vragen over wat er precies was gebeurd, welke persoonsgegevens waren gebruikt en op welke manier toestemming was geregeld. Daarnaast werd gevraagd welke maatregelen genomen zouden worden om dit probleem op te lossen en in de toekomst te voorkomen.
Voor de organisatie voelde dat als een snelle en directe reactie op een relatief klein incident. Maar juist dit soort situaties laten zien hoe de AP tegenwoordig werkt.
Waarom de AP hier direct op reageert
Waar organisaties dit soort fouten soms als klein of incidenteel zien, kijkt de AP er anders naar. Voor de toezichthouder draait het om de basisprincipes van de AVG: transparantie, controle en geldige toestemming. Als iemand ongevraagd e-mails ontvangt, is dat voor die persoon een concreet privacyprobleem. En als daarover een klacht wordt ingediend, kan dat voldoende aanleiding zijn voor de AP om in actie te komen.
De drempel om iets te melden is bovendien lager geworden. Mensen weten de AP steeds beter te vinden en maken daar ook gebruik van.
Wat er dan van je verwacht wordt
Op het moment dat de AP contact opneemt, hoef je geen juridisch perfect verhaal klaar te hebben. Maar je moet wel kunnen uitleggen hoe jouw processen werken. Denk bijvoorbeeld aan vragen zoals:
- Hoe komt iemand op jouw mailinglijst terecht?
- Hoe leg je toestemming vast?
- Wat is er in dit geval precies misgegaan?
- En wat heb je gedaan om dit te herstellen?
Daarnaast kijkt de AP ook vooruit: welke maatregelen neem je om te voorkomen dat dit opnieuw gebeurt? Juist dat laatste wordt steeds belangrijker.
Minder tijd om achteraf te herstellen
De directe aanpak van de AP betekent dat je minder ruimte hebt om dingen pas te gaan regelen als er een vraag komt. Waar organisaties eerder nog tijd hadden om documenten aan te vullen of processen uit te zoeken, wordt nu sneller verwacht dat je dit al inzichtelijk hebt.
Dat vraagt om een andere manier van werken. Niet alles tot in detail dichttimmeren, maar wel zorgen dat je overzicht hebt en je keuzes kunt toelichten.
Wat je nu al kunt checken
Het is daarom verstandig om je organisatie hierop voor te bereiden. Niet vanuit angst, maar vanuit overzicht. Controleer bijvoorbeeld of:
- je formulieren en toestemming goed zijn ingericht
- je weet hoe persoonsgegevens worden verzameld en gebruikt
- je kunt uitleggen wat je doet als iemand een klacht indient
- en je processen ook in de praktijk werken zoals je ze hebt bedacht
Als je dat op orde hebt, kun je dit soort situaties met vertrouwen tegemoet zien.
Probeer AVG-support.nl 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
