Op 5 juni 2018 stond op nu.nl het bericht dat de Belastingdienst nog een jaar extra nodig heeft om aan de Europese privacywet (AVG) te voldoen. Lees het hele artikel op nu.nl.
Daarmee is de Belastingdienst een jaar te laat. Op 25 mei 2018 was de AVG namelijk van toepassing. Elke organisatie die persoonsgegevens verwerkt, moest op die datum aan de AVG voldoen. Dus ook de Belastingdienst en dus ook vrijwel elke ondernemer.
Moet je je als ondernemer dan nog wel bezighouden met de AVG?
Dat is een vraag die ondernemers zich stellen, omdat de Belastingdienst ook nog niet aan de AVG voldoet.
Het antwoord is: Ja. Als ondernemer moet je ook aan de AVG voldoen. De Autoriteit Persoonsgegevens kan jouw verwerkingsregister bij je opvragen, je privacyverklaring bekijken, etc.
Ben je te laat?
Voldoe je nog niet aan de AVG? Dan ben je al te laat. Pas echt te laat ben je als de Autoriteit Persoonsgegevens jou uitkiest voor controle en je voldoet niet aan de AVG. Dan kun je een forse boete krijgen. De Autoriteit Persoonsgegevens heeft aangegeven dat tegen zij anders aankijkt tegen een ondernemer die wel bezig is met het voldoen aan de AVG, dan tegen een ondernemer die het niet zo nauw neemt met deze regels.
Boete of reputatie?
Als ondernemer wil je je onderscheiden van je concurrenten. Je wilt boven het maaiveld uitsteken. Daar doe je dagelijks je best voor. Je levert betere service, goede kwaliteit, betere bereikbaarheid, etc. Je zoekt naar USP’s (unique selling points). Uiteindelijk wil je een goede naam opbouwen. Een naam die vertrouwd is.
Wat dodelijk kan zijn voor je goede naam, is het niet voldoen aan de AVG. Een datalek op internet, klachten van klanten over het gebruik van je gegevens. Het kan je goede naam om zeep helpen.
De boete die de Autoriteit Persoonsgegevens kan opleggen, is schrikbarend hoog. Maar een boete kun je betalen en daarmee is het klaar (ervan uitgaande dat je de boete kunt betalen).
Naming and shaming op internet is blijvend. Je goede naam weer opbouwen, kost je veel tijd. Als je dat al lukt.
Voorkomen is dan ook beter dan genezen. Zorg voor dataminimalisatie in je bedrijf. Gebruik de documenten die je moet gebruiken. Zorg dat je je klanten juist informeert over hun rechten. Word je bewust van het doel van AVG, dan handel je daar ook eerder naar. Behoudt je goede naam.
De volgende 5 documenten helpen je op weg:
- Verwerkingsregister
- Verwerkersovereenkomst
- Privacyverklaring
- Protocol datalekken
- Register datalekken
Door deze documenten op de juiste manier in te vullen en te gebruiken, ben je als zzp’er en mkb’er vaak al voor een groot deel AVG-proof.
Uiteraard blijft de beveiliging van de persoonsgegevens, hoe jij zelf met de persoonsgegevens omgaat enz. wel van belang. De meeste datalekken gebeuren door menselijk handelen of nalaten.
Wij kunnen je helpen met het opstellen van deze documenten.
Zo lang wil de ondernemer zich bezighouden met de AVG
Mijn ervaring is dat ondernemers ongeveer 1 uur aan ‘het AVG-verhaal’ willen besteden. Dat de AVG er is en niet meer weggaat, beseffen ondernemers. Hier een uur aan besteden willen ze ook nog wel doen. Maar niet langer. Het levert ze als ondernemer niets op. Het is niet waar hun passie ligt: overeenkomsten opstellen, invullen etc.
Inmiddels hebben al diverse ondernemers mij gevraagd om de door hunzelf opgestelde privacyverklaring of verwerkersovereenkomst na te kijken. Tot op heden heb ik elke verklaring en overeenkomst opnieuw moeten schrijven. Dat komt doordat er verplichte elementen uit de AVG niet instaan, de overeenkomst op sommige punten zeer nadelig is geschreven (juist voor de andere partij) of onduidelijke bepalingen in de overeenkomst die voor (stevige) discussie kunnen leiden.
Zo lang kun je je bezighouden met de AVG
Met mijn kennis van en ervaring met het contractenrecht, privacyverklaringen en verwerkersovereenkomsten lukt het mij niet om binnen 2,5 uur deze twee documenten op maat te maken. Dan mag je zelf bepalen hoeveel tijd het jou gaat kosten. Vijf uur? Tien uur? Twee dagen?