Krap twee weken voordat de Algemene Verordening Gegevensbescherming (AVG) in werking treedt draaien privacydesks van advocatenkantoren op volle toeren. Ondernemers kloppen op het laatste moment aan met vragen over de nieuwe privacywetgeving die op veel punten onduidelijk is. “De gedachte dat je als onderneming volledig compliant kunt zijn is naïef en overambitieus.”
Een luxeprobleem, noemt Menno Weij het. Hij is partner bij Solv Advocaten in Amsterdam en gespecialiseerd op het gebied van IT-recht, eigendomsrecht en privacy. Sinds de jaarwisseling draait iedere werkdag − van half 8 ’s ochtends tot half 8 ’s avonds − om privacywetgeving. Als advocaat, maar ook met seminars en masterclasses, staat hij ondernemers bij met de nieuwe privacywet. “En als ik thuis kom en mijn kinderen zijn naar bed klap ik mijn laptop altijd nog wel een keer open.”
Hij is daarin geen uitzondering. Op de privacyafdeling van Solv Advocaten − twaalf man sterk − staat momenteel alles in het teken van de AVG. Terwijl al twee jaar bekend is dat de nieuwe privacywetgeving er komt, heeft lang niet iedere ondernemer zijn zaken op orde. Kleine en middelgrote ondernemers melden zich nog op het laatste moment voor hulp, maar ook grote bedrijven zijn nog volop bezig om aan de AVG te voldoen. Weij: “Gisteren nog belde een ondernemer in paniek op. We zijn nog aan de slag met zowel grote klussen waar we al maanden mee bezig zijn, als met de bakker om de hoek die zich toch zorgen begint te maken.”
Harde datum
Die zorgen zijn niet onterecht. Op 25 mei vervangt de Algemene Verordening Gegevensbescherming (AVG), die internationaal bekend staat als de General Data Protection Regulation (GDPR), de Wet bescherming persoonsgegevens. Het is een harde datum: vanaf dat moment ziet in Nederland de Autoriteit Persoonsgegevens (AP) toe op naleving van de wet, die geldt voor alle ondernemers in de Europese Unie die persoonsgegevens vastleggen. Van internationale giganten als Facebook tot zzp’ers: iedere ondernemer heeft vanaf dat moment nieuwe verplichtingen bij het verwerken van persoonsgegevens.
Ondernemers moeten kunnen aantonen dat de juiste maatregelen zijn genomen om aan de AVG te voldoen. Zo is het opstellen van een verwerkingsregister vaak een verplichte maatregel. Tevens zijn sommige ondernemingen krachtens de AVG verplicht een Data protection impact assessment (DPIA) uit te voeren, of een functionaris voor de gegevensbescherming (FG) aan te stellen. De AP is als toezichthouder verplicht elke melding in behandeling te nemen, en gaat vanaf 25 mei overtredingen ook beboeten. Die boetes kunnen hoog oplopen: niet voldoen aan de privacywetgeving kan leiden tot boetes tot 20 miljoen euro of 4 procent van de wereldwijde omzet.
Onderschat
Grote ondernemingen die veel met gevoelige persoonsgegevens werken, zoals ziekenhuizen of verzekeraars, zijn over de hele linie genomen op tijd begonnen. “Die zijn over het algemeen ook al goed voorbereid,” zegt Anita Nijboer. Nijboer is lid van de Vereniging Privacyrecht en maakt deel uit van de privacydesk van Ekelmans & Meijer Advocaten in Den Haag, waar zij veel ondernemers bijstaat met de nieuwe privacyregels.
Het zijn voornamelijk de kleine en middelgrote ondernemers die nu nog aankloppen met problemen. Volgens Nijboer wordt de AVG door het gros van de ondernemers onderschat: “Ondernemers die niet het idee hebben dat ze veel met persoonlijke informatie werken, realiseren zich vaak niet dat de nieuwe regels ook voor hen gelden.”
Tal van ondernemers hebben hun gegevens voor 25 mei niet op orde. De Autoriteit Persoonsgegevens heeft geen zicht op hoeveel bedrijven momenteel voldoen aan de AVG, maar uit een enquête van Crowd Research Partners blijkt dat 60 procent van de bedrijven niet aan de richtlijnen voldoet.
Verwarrende communicatie
Dat is volgens Weij voor een belangrijk deel het gevolg van de verwarrende communicatie over de AVG. “Er zijn door de overheid en de toezichthouder in de afgelopen twee jaar veel tegenstrijdige signalen afgegeven. Veel ondernemers zien daardoor door de bomen het bos niet meer. Zo werd op het moment dat de wet op Europees niveau werd aangenomen aanvankelijk weinig vanuit de overheid gecommuniceerd. Toen kwamen er waarschuwingen over strenge regels en hoge boetes, die vervolgens werden gebagatelliseerd door de minister en de AP. Er werd gezegd dat de AVG ‘maar weinig verschillen heeft met de huidige wetgeving’, en bedrijven zouden alleen de puntjes op de i hoeven te zetten. Hierdoor raken ondernemers in de war: moeten we ons nou zorgen maken of niet?”
Het internet biedt om dezelfde reden geen soelaas. Weij: “Er is online extreem veel informatie over de AVG beschikbaar, waarvan veel elkaar tegenspreekt. Nog verwarrender is dat AP-voorzitter Aleid Wolfsen een aantal keer dingen heeft gezegd die niet kloppen. Zo zei hij tegen de media dat een onderneming alleen een verwerkingsregister hoeft bij te houden als die gevoelige persoonsgegevens gebruikt. Dat is pertinente onzin. In de praktijk komt het erop neer dat iedere onderneming zo’n register moet bijhouden.”
Hij vervolgt: “Er is inderdaad een uitzonderingsregel die voorschrijft dat bedrijven geen register nodig hebben. Maar die geldt alleen voor ondernemingen met minder dan 250 werknemers die tevens slechts op incidentele basis persoonsgegevens bijhouden. Als je als bakker maar een paar keer per week voor klanten online bestellingen verwerkt, ben je al structureel met persoonsgegevens bezig. Kortom: vrijwel geen enkel bedrijf verwerkt persoonsgegevens incidenteel.”
Inconsistent
Omdat de wet nog op veel belangrijke onderdelen onduidelijk is, is het volgens Gerrit-Jan Zwenne, hoogleraar Recht en de informatiemaatschappij aan de Universiteit Leiden en partner bij Brinkhof in Amsterdam, voor ondernemers op dit moment zelfs onmogelijk om honderd procent zeker te weten dat er wordt voldaan aan de AVG. Zwenne: “Er is een aantal verplichtingen waar wel betrekkelijk eenvoudig aan kan worden voldaan, zoals het opstellen van een privacystatement of het maken van een verwerkingsregister. Maar als het gaat om ingewikkelde verplichtingen, is de verordening nog heel onduidelijk en soms zelfs inconsistent.”
“De gedachte dat je als onderneming nu al volledig compliant kunt zijn is daarom naïef en overambitieus. Dat verzin ik hier niet van achter mijn bureau, maar dat is ook bij de Tweede Kamer bekend. Eerst zal de toezichthouder duidelijkheid moeten verschaffen over het beleid, of moet er rechtspraak komen, voordat überhaupt nagedacht kan worden over het beboeten van overtredingen.”
Uitstraling
Toch is het volgens Weij ondernemers niet aan te raden een afwachtende houding aan te nemen. De eventuele boetes zouden niet de drijfveer moeten zijn, maar het imago van de onderneming. Voor de uitstraling in de richting van consumenten is het volgens hem in de huidige tijdsgeest van belang dat je als ondernemer nauwkeurig met persoonlijke informatie omgaat. In welke branche dan ook: “Je wilt niet in het nieuws komen als voorbeeld van een bedrijf waar de zaken niet op orde zijn. Na de privacyschandalen bij Facebook en Uber is het nu juist het moment om uit te stralen dat je transparant bent als onderneming.”