[Lees het hele artikel hieronder]   

Mkb kan uitzondering op nieuwe, strenge privacywet wel
vergeten

Het midden- en
kleinbedrijf kan fluiten naar een uitzonderingspositie of zelfs maar een
lichter regime bij de handhaving van de nieuwe Europese privacywet, die 25 mei
ingaat. Ondernemers hadden om vrijstelling gevraagd omdat ze vrezen op kosten
te worden gejaagd, maar de Autoriteit Persoonsgegevens (AP), die de naleving
van de wet controleert, is onverbiddelijk.

Een woordvoerder
van de privacywaakhond noemt het beschermen van privacy en persoonlijke
informatie een ‘grondrecht’ en ‘essentieel’. De toezichthouder wil daarom in de
handhaving ‘ver’ gaan.

Onder de Algemene
Verordening Gegevensbescherming (AVG) heeft de burger altijd het recht te weten
wie welke gegevens van hem bewaart en wat daarmee gebeurt. Bedrijven en
organisaties mogen alleen nog persoonsgegevens verzamelen, bewaren en verwerken
voor een vastgesteld doel. De data zijn niet voor andere zaken te gebruiken en
mogen niet langer dan strikt noodzakelijk worden bewaard. Bovendien moeten
bedrijven de gegevens goed beschermen.

Secretaris ICT
David de Nood vanMKB-Nederland schat dat de wet het hele Nederlandse
bedrijfsleven tot €1,4 mrd extra per jaar kost aannalevingsuitgaven.
Ondernemingen, maar ook ziekenhuizen, overheids- en onderwijsinstellingen
moeten in computersystemen bijhouden welke persoonsgegevens ze hebben, wat ze
ermee doen, wanneer ze worden weggegooid en hoe ze zijn beveiligd. Deze
‘registerplicht’ in de wet kost alleen al €500 mln, becijferde SIRA Consulting.

De Nood was dan
ook ‘heel blij’ met een vrijstellingsclausule in de wet voor bedrijven met
minder dan 250 werknemers. Alleen kleine ondernemingen die medische, financiële
of andere potentieel gevoelige informatie opslaan zouden onder de
registerplicht vallen.

‘Mkb’ers moeten
dus hulp gaan inroepen en niet iedereen heeft daar de middelen voor’
, David de Nood van MKB-Nederland.

Maar de
voorwaarden om voorvrijstelling in aanmerking te komen, blijken tot schrik van
MKB-Nederland veel strenger dan gedacht. Elke vorm van ‘niet-incidentele’
opslag leidt al tot een registerplicht. De Nood komt tot de conclusie dat de
uitzonderingen opgeen enkele mkb-ondernemer of zzp’er van toepassing zijn,
want iedereen houdt structureel wel een klantenbestand of de
salarisadministratie bij. ‘Dit grijpt diep in in de bedrijfsprocessen’, zegt De
Nood. ‘De informatie over de wet, onder meer van de AP, is heel complex en
juridisch pittig. Mkb’ers moeten dus hulp gaan inroepen en niet iedereen heeft
daar de middelen voor.’

Interpretatie

Dat vindt ook
public policy manager Ivo Poulissen van brancheorganisatie Nederland ICT. ‘Waar
de grootste risico’s zitten, moet het strengste toezicht zijn, net zoals bij de
huidige Wet bescherming persoonsgegevens. Maar de interpretatie van de
nieuwe wet ligt bij de Europese toezichthouders en die hebben nu duidelijkheid
gegeven,’ zegt hij.

Heel merkwaardig
is volgens Poulissen dat de Europese toezichthouders zeggen dat het bijhouden
van een register met privégegevens niet leidt tot hogere administratieve
lasten. ‘Dat klopt niet. Wij zien ook niet in dat zo’n register leidt tot
meer bescherming van persoonsgegevens. Onze sector is wel heel blij met andere
delen van de wet die aanzetten tot het nadenken over beveiliging. Dat is
cruciaal in onze digitale economie.’

De Nood denkt
eveneens dat voor mkb’ers de privacybaten niet opwegen tegen de kosten. ‘De
Autoriteit Persoonsgegevens gaat vrijwel nooit controleren bij een individueel
mkb-bedrijf,’ zegt hij. De Autoriteit heeft 120 mensen in dienst en Nederland
kent ruim een miljoen zzp’ers en ruim 195.000 kleine bedrijven met twee
tot tien werknemers.

De AP-woordvoerder
wijst erop dat de wet een aanlooptijd heeft gehad van twee jaar om bedrijven de
kans te geven hun register op orde te krijgen. ‘Vanaf 25 mei gaat de wet echt
in en wij zijn verplicht iedere klacht in behandeling te nemen. Dat kan leiden
tot een onderzoek en eventueel sancties.’ Volgens haar lopen er nu al klachten.

De maximale boete
is straks €20mln óf 4% van de wereldwijdeomzet bij grote datalekken of het
verwerken van informatie zondertoestemming. Andereovertredingen, zoals het te
laat inlichten van de autoriteiten bij een datalek of niet-opzettelijke
fouten, worden minder fors beboet.

Bron: Financieel Dagblad