Er zijn nog maar weinig ondernemers die het niet weten: de nieuwe privacywet komt eraan. Vanaf 25 mei moeten bedrijven toestemming vragen als ze data van consumenten opslaan, en meer delen over wat ze met die gegevens doen. Dat brengt een hoop extra werk met zich mee.
"We zijn op dit moment bezig met het in kaart brengen van wat we allemaal vastleggen aan gegevens van klanten", zegt Serge Brabander van sportdienst OneFit. "Dat doen we samen met een gespecialiseerd bureau, dat ook een verklaring opstelt voor onze klanten. Daarin staat bijvoorbeeld wat wij met hun gegevens doen."
Brabander benadrukt dat zijn bedrijf de informatie die ze hebben van klanten, bijvoorbeeld dat iemand aan yoga doet, niet doorverkoopt aan derden. Het wordt slechts opgeslagen. Desondanks bestaat voor hen de plicht om duidelijk te zijn over wat ze doen met de data.
Een moetje
Het is een moetje, die rompslomp rondom de Algemene Verordening Gegevensbescherming (AVG). Verplichte kost voor zo'n beetje alle ondernemers. Van een zzp'er die telefoonnummers opslaat van klanten tot een software-ondernemer die elke week een nieuwsbrief stuurt. En van een techreus zoals Google, tot de lokale sportclub.
De AVG werd in april 2016 door door het Europees Parlement en de Raad van Europa ondertekend. De EU wil namelijk dat persoonlijke gegevens van burgers beter beschermd worden.
Extra werk
Denk aan (IP)-adressen, foto's, e-mailgegevens, medische data of vingerafdrukken. Bedrijven moeten niet alleen zeggen wát ze gebruiken, maar ook waarvóór en hoe en hoe lang ze het opslaan. Een gebruiker moet de toestemming die is gegeven voor het bewaren van de data net zo makkelijk weer kunnen intrekken.
De Autoriteit Persoonsgegevens, die in Nederland controleert of bedrijven zich aan de regels houden (en stevige boetes mag uitdelen als dat niet gebeurt), beaamt dat de nieuwe wet extra werk met zich meebrengt.
"Tegelijkertijd is er een overgangstermijn van twee jaar geweest waarin ondernemers ruim de tijd hebben gehad om zich voor te bereiden", zegt een woordvoerder.
Register bijhouden
Bedrijven die persoonsgegevens verwerken moeten bijvoorbeeld een register bijhouden. Organisaties die op grote schaal informatie verwerken zijn daarnaast vaak verplicht om risico-assessments te doen. Ook kan het verplicht zijn om een functionaris voor de gegevensbescherming aan te stellen: iemand die toezicht houdt op de naleving van de AVG.
"Het kost ons heel veel tijd", zegt ook Adriaan Mol van betalingsdienst Mollie. Hij heeft een aantal mensen in zijn bedrijf die fulltime bezig zijn met compliance, waaronder juristen die toezien op het naleven van allerlei regels.
Deze mensen houden zich nu ook bezig met de privacynormen. "Omdat onze organisatie flink is gegroeid, is de tijd die we hieraan besteden dito toegenomen. Daar zitten natuurlijk kosten aan verbonden, maar die kan ik zo snel niet precies inschatten", aldus de ondernemer.
Privacy is overal
Het onderwerp privacy is overal, maar dat betekent niet dat alle bedrijven er ook mee bezig zijn. Uit een peiling onder 2800 bedrijven door MKB Servicedesk kwam deze week naar voren dat 70 procent zich nog onvoldoende heeft voorbereid.
De helft van de bedrijven zegt maatregelen te hebben genomen, of is dat van plan. Maar echt klaar voor de wet zijn ze niet. 77 procent noemt daarbij de informatievoorziening vanuit de overheid 'slecht'. De wetgeving zou te complex zijn voor de kleine ondernemer.
Geen actiepunten
"Ik herken het dat veel mensen niet goed genoeg zijn voorbereid", zegt Roham Rahimi van AttachingIT. "Dat zie ik ook bij veel van mijn klanten."
Het bedrijf ontwikkelde een tool om het e-mailverkeer via Outlook beter te beveiligen en bijvoorbeeld datalekken te voorkomen. "Wat het lastig maakt is dat de AVG geen specifieke actiepunten bevat, maar wel eist dat data beter beschermd wordt."
Dat is ook waar Rahimi andere bedrijven bij helpt. "Bijna alle bedrijven doen inmiddels wel iets met veiligheid, e-mail is dan een van de eerste zaken die onder de loep ligt", aldus Rahimi die er bij zijn eigen bedrijf ook voor zorgt dat ze privacyproof zijn.
Gevoelsmatig kost dit veel tijd en geld, zegt de ondernemer. "Zeker omdat wij ervoor kiezen om ons aanvullend op te leiden in het beveiligen van data. Dat is niet verplicht, maar aandacht voor privacy is sowieso nodig, omdat wij mensen tegenwoordig alles online delen. Daar moet je je simpelweg in verdiepen."
