AVG tot nu toe: MKB nog niet klaar voor nieuwe wet

De enige duidelijkheid over de AVG is dat er veel onduidelijkheid is over de AVG. Er wordt gesproken over boetes van 20 miljoen tot 4% van de jaaromzet. Veel ondernemingen lijken hiervan te zijn geschrokken en zijn massaal hun klantenbestand gaan mailen om maar te voldoen aan de nieuwe wet, terwijl dit eigenlijk niet noodzakelijk was. Een flinke marketingmisser. 

Vanuit Brussel is in eerste instantie uitgesproken dat bedrijven met minder dan 250 werknemers voorlopig meer coulantie krijgen. Toch heft de AVG dit op zo'n manier op dat ook het MKB aan alle regels moet voldoen. Het lijkt er dus op dat ze de wet in Brussel ook erg complex vinden.

De aanvang van deze wet staat al twee jaar in het vooruitzicht, maar toch komen ondernemingen er nu pas achter dat de implementatie niet zo makkelijk is als van tevoren gedacht werd. Gelukkig ziet het er naar uit dat het MKB tegemoet gekomen gaat worden door iets soepelere handhaving van de regels. 

Bovendien is er vanuit de Nederlandse overheid nog geen extra budget uit getrokken om te controleren op de naleving van de nieuwe wet. De Autoriteit Persoonsgegevens heeft dus niet eens genoeg mankracht om te kijken in hoeverre de wet wordt nageleefd. Zij zullen zich naar alle waarschijnlijkheid eerst gaan focussen op de (zeer) grote bedrijven en ondernemingen die zeer gevoelige persoonsgegevens verwerken en echte privacyrisico's met zich meenemen.  

Het lijkt er dus op dat het MKB wat meer tijd krijgt om de nieuwe privacyregels door te voeren. Kleinere ondernemingen verzamelen in de meeste gevallen minder gevoelige informatie dan bijvoorbeeld ziekenhuizen of verzekeraars en hebben minder tijd en middelen beschikbaar om volledig te voldoen aan de nieuwe wet. Dit betekent echter niet dat je als MKB-bedrijf op je lauweren kunt gaan rusten. Uiteindelijk moet iedere onderneming volledig compliant zijn.  

Vanuit MKB-Nederland en het ministerie is algemene voorlichting gegeven aan ondernemingen. Dit bleek helaas niet genoeg te zijn. De pizzeria op de hoek, de kapper en de plaatselijke voetbalvereniging verzamelen verschillende gegevens en allemaal met een ander doel. Ook kappers onderling kunnen verschillende persoonsgegevens verzamelen. Maatwerk advies was hier dus beter op zijn plaats geweest. 

Ook de overheid zelf blijkt problemen te hebben met het implementeren van de nieuwe wet: de Belastingdienst is er in ieder geval nog niet klaar voor. 

In eerste instantie: blijf rustig. Zoals eerder genoemd zal de Autoriteit Persoonsgegevens naar alle waarschijnlijkheid onderscheid gaan maken in grote bedrijven en het MKB als het gaat om gegevensbescherming. Zorg ervoor dat jij je als MKB'er vooral focust op de handhaving van de echte privacyrisico's, zoals je dat als het goed is al deed. 

Overdrijf het vooral niet: voor de eerste 1,5 tot 2 jaar wordt er coulantie verwacht voor kleinere bedrijven die nog niet alles tot in de laatste puntjes uitgewerkt hebben. Start dus bij de grootste  privacy knelpunten. 

Verzamel alleen noodzakelijke persoonsgegevens met een duidelijk doel: vertel in jullie privacyverklaring waarom je welke gegevens verzameld. Ook is het belangrijk om te vermelden hoelang gegevens bewaard blijven. Bij veel ondernemingen was dit al het geval en verandert er dus helemaal niet zoveel. Het grote verschil is nu dat alleen noodzakelijke gegevens mogen worden verzameld. 

Sla gegevens op één centrale plek op: zo kan een eventuele inspectie eenvoudig terugvinden welke data is verzameld en in welke mate dit beveiligd is. 

Ondernemingen zien de AVG vooral als een blok aan het been. Voor een groot gedeelte is dat het natuurlijk ook. Maar het kan ook een goede kans zijn om nog eens een kritische blik te werpen op de IT-systemen die momenteel worden gebruikt. Voldoen deze nog wel? Of zijn er misschien andere opties waarbij de privacy automatisch beter beschermd is? Een interessante casus bij een toch wat saaie implementatie van de AVG.