Veilig en betrouwbaar
Deel dit artikel

Mkb kan uitzondering op nieuwe, strenge privacywet wel vergeten

Het midden- en kleinbedrijf kan fluiten naar een uitzonderingspositie of zelfs maar een lichter regime bij de handhaving van de nieuwe Europese privacywet, die 25 mei ingaat. Ondernemers hadden om vrijstelling gevraagd omdat ze vrezen op kosten te worden gejaagd, maar de Autoriteit Persoonsgegevens (AP), die de naleving van de wet controleert, is onverbiddelijk.

Een woordvoerder van de privacywaakhond noemt het beschermen van privacy en persoonlijke informatie een 'grondrecht' en 'essentieel'. De toezichthouder wil daarom in de handhaving 'ver' gaan.

Onder de Algemene Verordening Gegevensbescherming (AVG) heeft de burger altijd het recht te weten wie welke gegevens van hem bewaart en wat daarmee gebeurt. Bedrijven en organisaties mogen alleen nog persoonsgegevens verzamelen, bewaren en verwerken voor een vastgesteld doel. De data zijn niet voor andere zaken te gebruiken en mogen niet langer dan strikt noodzakelijk worden bewaard. Bovendien moeten bedrijven de gegevens goed beschermen.

Secretaris ICT David de Nood van MKB-Nederland schat dat de wet het hele Nederlandse bedrijfsleven tot €1,4 mrd extra per jaar kost aan nalevingsuitgaven. Ondernemingen, maar ook ziekenhuizen, overheids- en onderwijsinstellingen moeten in computersystemen bijhouden welke persoonsgegevens ze hebben, wat ze ermee doen, wanneer ze worden weggegooid en hoe ze zijn beveiligd. Deze 'registerplicht' in de wet kost alleen al €500 mln, becijferde SIRA Consulting.

De Nood was dan ook ‘heel blij’ met een vrijstellingsclausule in de wet voor bedrijven met minder dan 250 werknemers. Alleen kleine ondernemingen die medische, financiële of andere potentieel gevoelige informatie opslaan zouden onder de registerplicht vallen.

Maar de voorwaarden om voor vrijstelling in aanmerking te komen, blijken tot schrik van MKB-Nederland veel strenger dan gedacht. Elke vorm van ‘niet-incidentele’ opslag leidt al tot een registerplicht. De Nood komt tot de conclusie dat de uitzonderingen op geen enkele mkb-ondernemer of zzp'er van toepassing zijn, want iedereen houdt structureel wel een klantenbestand of de salarisadministratie bij. 'Dit grijpt diep in in de bedrijfsprocessen', zegt De Nood. 'De informatie over de wet, onder meer van de AP, is heel complex en juridisch pittig. Mkb'ers moeten dus hulp gaan inroepen en niet iedereen heeft daar de middelen voor.'

Interpretatie

Dat vindt ook public policy manager Ivo Poulissen van brancheorganisatie Nederland ICT. 'Waar de grootste risico's zitten, moet het strengste toezicht zijn, net zoals bij de huidige Wet bescherming persoonsgegevens. Maar de interpretatie van de nieuwe wet ligt bij de Europese toezichthouders en die hebben nu duidelijkheid gegeven,' zegt hij.

Heel merkwaardig is volgens Poulissen dat de Europese toezichthouders zeggen dat het bijhouden van een register met privégegevens niet leidt tot hogere administratieve lasten. 'Dat klopt niet. Wij zien ook niet in dat zo'n register leidt tot meer bescherming van persoonsgegevens. Onze sector is wel heel blij met andere delen van de wet die aanzetten tot het nadenken over beveiliging. Dat is cruciaal in onze digitale economie.'

De Nood denkt eveneens dat voor mkb'ers de privacybaten niet opwegen tegen de kosten. 'De Autoriteit Persoonsgegevens gaat vrijwel nooit controleren bij een individueel mkb-bedrijf,' zegt hij. De Autoriteit heeft 120 mensen in dienst en Nederland kent ruim een miljoen zzp'ers en ruim 195.000 kleine bedrijven met twee tot tien werknemers.

De AP-woordvoerder wijst erop dat de wet een aanlooptijd heeft gehad van twee jaar om bedrijven de kans te geven hun register op orde te krijgen. 'Vanaf 25 mei gaat de wet echt in en wij zijn verplicht iedere klacht in behandeling te nemen. Dat kan leiden tot een onderzoek en eventueel sancties.' Volgens haar lopen er nu al klachten.

De maximale boete is straks €20 mln óf 4% van de wereldwijde omzet bij grote datalekken of het verwerken van informatie zonder toestemming. Andere overtredingen, zoals het te laat inlichten van de autoriteiten bij een datalek of niet-opzettelijke fouten, worden minder fors beboet.

 

Bron: Artikel