Nieuws

Is het aanpassen aan de nieuwe AVG écht zo ingewikkeld?

11.05.2018

Ondernemers in het MKB zien op tegen de aanpassingen die ze moeten doen om aan de nieuwe AVG te voldoen. Het is ingewikkeld, en kan soms ook kostbaar zijn. Dat schrijft het Financieel Dagblad. Het inschakelen van hulp of advies bij het compliant worden zou daarbij een behoorlijke drempel zijn. Aan de andere kant denken wij: een concreet en passend advies voor jouw specifieke business kan veel tijd, geploeter én boetes schelen. 


[Lees het hele artikel hieronder]   


Mkb kan uitzondering op nieuwe, strenge privacywet wel vergeten

Het midden- en kleinbedrijf kan fluiten naar een uitzonderingspositie of zelfs maar een lichter regime bij de handhaving van de nieuwe Europese privacywet, die 25 mei ingaat. Ondernemers hadden om vrijstelling gevraagd omdat ze vrezen op kosten te worden gejaagd, maar de Autoriteit Persoonsgegevens (AP), die de naleving van de wet controleert, is onverbiddelijk.

Een woordvoerder van de privacywaakhond noemt het beschermen van privacy en persoonlijke informatie een 'grondrecht' en 'essentieel'. De toezichthouder wil daarom in de handhaving 'ver' gaan.

Onder de Algemene Verordening Gegevensbescherming (AVG) heeft de burger altijd het recht te weten wie welke gegevens van hem bewaart en wat daarmee gebeurt. Bedrijven en organisaties mogen alleen nog persoonsgegevens verzamelen, bewaren en verwerken voor een vastgesteld doel. De data zijn niet voor andere zaken te gebruiken en mogen niet langer dan strikt noodzakelijk worden bewaard. Bovendien moeten bedrijven de gegevens goed beschermen.

Secretaris ICT David de Nood vanMKB-Nederland schat dat de wet het hele Nederlandse bedrijfsleven tot €1,4 mrd extra per jaar kost aannalevingsuitgaven. Ondernemingen, maar ook ziekenhuizen, overheids- en onderwijsinstellingen moeten in computersystemen bijhouden welke persoonsgegevens ze hebben, wat ze ermee doen, wanneer ze worden weggegooid en hoe ze zijn beveiligd. Deze 'registerplicht' in de wet kost alleen al €500 mln, becijferde SIRA Consulting.

De Nood was dan ook ‘heel blij’ met een vrijstellingsclausule in de wet voor bedrijven met minder dan 250 werknemers. Alleen kleine ondernemingen die medische, financiële of andere potentieel gevoelige informatie opslaan zouden onder de registerplicht vallen.

‘Mkb'ers moeten dus hulp gaan inroepen en niet iedereen heeft daar de middelen voor’, David de Nood van MKB-Nederland.

Maar de voorwaarden om voorvrijstelling in aanmerking te komen, blijken tot schrik van MKB-Nederland veel strenger dan gedacht. Elke vorm van ‘niet-incidentele’ opslag leidt al tot een registerplicht. De Nood komt tot de conclusie dat de uitzonderingen opgeen enkele mkb-ondernemer of zzp'er van toepassing zijn, want iedereen houdt structureel wel een klantenbestand of de salarisadministratie bij. 'Dit grijpt diep in in de bedrijfsprocessen', zegt De Nood. 'De informatie over de wet, onder meer van de AP, is heel complex en juridisch pittig. Mkb'ers moeten dus hulp gaan inroepen en niet iedereen heeft daar de middelen voor.'

Interpretatie

Dat vindt ook public policy manager Ivo Poulissen van brancheorganisatie Nederland ICT. 'Waar de grootste risico's zitten, moet het strengste toezicht zijn, net zoals bij de huidige Wet bescherming persoonsgegevens. Maar de interpretatie van de nieuwe wet ligt bij de Europese toezichthouders en die hebben nu duidelijkheid gegeven,' zegt hij.

Heel merkwaardig is volgens Poulissen dat de Europese toezichthouders zeggen dat het bijhouden van een register met privégegevens niet leidt tot hogere administratieve lasten. 'Dat klopt niet. Wij zien ook niet in dat zo'n register leidt tot meer bescherming van persoonsgegevens. Onze sector is wel heel blij met andere delen van de wet die aanzetten tot het nadenken over beveiliging. Dat is cruciaal in onze digitale economie.'

De Nood denkt eveneens dat voor mkb'ers de privacybaten niet opwegen tegen de kosten. 'De Autoriteit Persoonsgegevens gaat vrijwel nooit controleren bij een individueel mkb-bedrijf,' zegt hij. De Autoriteit heeft 120 mensen in dienst en Nederland kent ruim een miljoen zzp'ers en ruim 195.000 kleine bedrijven met twee tot tien werknemers.

De AP-woordvoerder wijst erop dat de wet een aanlooptijd heeft gehad van twee jaar om bedrijven de kans te geven hun register op orde te krijgen. 'Vanaf 25 mei gaat de wet echt in en wij zijn verplicht iedere klacht in behandeling te nemen. Dat kan leiden tot een onderzoek en eventueel sancties.' Volgens haar lopen er nu al klachten.

De maximale boete is straks €20mln óf 4% van de wereldwijdeomzet bij grote datalekken of het verwerken van informatie zondertoestemming. Andereovertredingen, zoals het te laat inlichten van de autoriteiten bij een datalek of niet-opzettelijke fouten, worden minder fors beboet.

Bron: Financieel Dagblad