Veel bedrijven niet klaar voor nieuwe privacywet

Europese dataregels Over een maand gaan nieuwe Europese privacyregels in. Dit kan tot miljoenenboetes leiden.

De Algemene Verordening Gegevensbescherming (AVG) is vooral ingegeven door de gegevensverzameling van reuzen als Google en Facebook. Deze bedrijven lijken al wel op koers te liggen om aan de nieuwe regels te voldoen. Beeld Arjen Born

Volgende maand wordt het grootste nieuwe pakket privacyregels sinds jaren ingevoerd, maar veel bedrijven zijn er niet klaar voor. Op 25 mei treedt de Algemene Verordening Gegevensbescherming (AVG) in werking, ook bekend onder de Engelse afkorting GDPR. Overtreding kan leiden tot boetes die kunnen oplopen tot 20 miljoen euro, in sommige gevallen zelfs veel hoger.

Het is al ruim twee jaar bekend dat dit gaat gebeuren, maar toch: „Veel bedrijven zullen niet op tijd klaar zijn”, zegt beleidsspecialist David de Nood van ondernemersorganisatie VNO-NCW/MKB-Nederland. „Er zijn grote zorgen. Veel ondernemers vinden het te complex.” Advocaat Menno Weij van Solv, gespecialiseerd in IT-recht, ziet hetzelfde beeld: „We krijgen de laatste weken bezorgde telefoontjes van cliënten die niet weten wat ze moeten doen en waar ze überhaupt moeten beginnen.”

Zeker de helft haalt deadline niet

Exacte cijfers over hoeveel bedrijven problemen hebben met de AVG heeft toezichthouder Autoriteit Persoonsgegevens (AP) niet. Maar uit recente enquêtes van onderzoeksbureau Crowd Research Partners, adviesbedrijf IDC en brancheorganisatie voor data- en marketingbedrijven DDMA komt hetzelfde: ruim de helft van de bedrijven heeft de zaken nog niet op orde. Het pakket privacyregels geldt voor nagenoeg alle organisaties, dus ook sportclubs en zzp’ers.

Wat staat er in de AVG? Vooral heel veel regels die ertoe leiden dat mensen makkelijker inzicht moeten krijgen in wat bedrijven van hen weten. Consumenten moeten gegevens makkelijker kunnen meenemen naar concurrenten. Veel bedrijven moeten een privacyfunctionaris instellen, en ze moeten registers bijhouden over gegevens die ze verwerken.

De Autoriteit Persoonsgegevens (AP) is onverbiddelijk over de deadline van 25 mei: „Dat is een harde datum. De AP houdt toezicht op naleving van de AVG en zal zo nodig handhaven. We kunnen én mogen er niet voor kiezen om het handhaven van de AVG uit te stellen”, aldus een woordvoerder.

Wel zei minister Dekker (Rechtsbescherming, VVD) vorige maand dat de nadruk niet zal liggen „op het beboeten van de korfbalvereniging als de welwillendheid er is om aan de regels te voldoen”. De AP biedt op haar site onder meer een stappenplan om ondernemers te steunen.

Datareuzen al beter op koers

De AVG is vooral ingegeven door de gegevensverzameling van reuzen als Google en Facebook. Deze bedrijven lijken al wel op koers te liggen om aan de nieuwe regels te voldoen. Facebook begon deze week al met het vragen van extra toestemming aan gebruikers voor het verwerken van gegevens. Het bedrijf heeft naar eigen zeggen „het grootste multidisciplinaire team uit de geschiedenis van Facebook” opgezet om de invoering in goede banen te leiden. Niet heel vreemd: de hoogste boetes kunnen tot wel 4 procent van de wereldwijde jaaromzet bedragen. Voor Facebook is dat 1,3 miljard euro.

    • Wouter van Noort