Ja, ook jij moet je gegevens beveiligen

Privacywet Niet alleen grote bedrijven, ook zzp’ers moeten voldoen aan de nieuwe privacywet. „Er bestaat geen goede checklist voor kleine ondernemers zoals ik.”

Illustratie Roland Blokhuizen

Ondernemer Delianne de Greef is druk aan het googelen. ‘Verwerkersovereenkomst’, ‘cookiegenerator’ – zulke termen vliegen haar om de oren. Samen met haar man runt ze BabyOutlet, een webshop in babyartikelen. „We zijn allebei nogal perfectionistisch. Maar met deze nieuwe wet is het toch wel een uitdaging om aan de eisen te voldoen, hoor.”

Ja, óók zzp’ers en kleine ondernemers moeten zich aanpassen aan de nieuwe, ingewikkelde Europese privacywet: de Algemene Verordening Gegevensbescherming (AVG). Vanaf vrijdag 25 mei gaat de wet van kracht.

Minister Sander Dekker (Rechtsbescherming, VVD) zei donderdag te verwachten dat aan de start bij kleine ondernemers, „schappelijk” zal worden omgegaan met de handhaving van de nieuwe wet. Maar: de minister gaat daar helemaal niet over.

Die taak is weggelegd voor de Autoriteit Persoonsgegevens. Een woordvoerder van de toezichthouder zegt: „Voor sportclubs, zzp’ers en het midden- en kleinbedrijf geldt dat het niet onze eerste prioriteit heeft te onderzoeken of daar de regels worden nageleefd.” Wel kan het zijn dat de toezichthouder over zulke (kleine) organisaties klachten ontvangt. „Wij zijn wettelijk verplicht om al die klachten serieus te behandelen. Kleine organisaties hebben dus geen uitzonderingspositie als het om de wet gaat.”

Het besef komt eigenlijk nu pas

Vage regels

Begin dit jaar had eenderde van de zzp’ers nog niet gehoord van de AVG, blijkt uit onderzoek van marktmonitor ZP Facts. Tweederde was nog niet op de hoogte van de gevolgen van de nieuwe regels. „We zitten ook nu nog in de fase dat veel ondernemers ons opbellen met de vraag: ‘Moet ik ook wat met die wet?’”, zegt Frank Alfrink, directeur van ZZP Nederland. „Het besef komt eigenlijk nu pas.”

In de nieuwe wet staat bijvoorbeeld dat organisaties duidelijk moeten zijn over welke persoonsgegevens ze gebruiken en waarom. Ze mogen niet meer gegevens verzamelen dan nodig en moeten kunnen aantonen dat ze gegevens goed beveiligen. Wie te losjes omspringt met persoonsgegevens kan een boete krijgen, die kan oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Dat geldt voor bedrijven met honderden werknemers in dienst, maar ook voor kleine zelfstandigen.

Voor kleine ondernemers zonder juridisch team kan dat behoorlijk ingewikkeld zijn. Wat ZZP Nederland betreft laat de overheid daarom steken vallen in de voorlichting. Bovendien vindt de ondernemersorganisatie het zelf al lastig om goede voorlichting te geven. De regels zijn „vaag”, vindt voorzitter Alfrink. „Organisaties moeten persoonsgegevens adequaat beveiligen”, zegt hij. „Maar wat is adequaat? Welke definitie moeten wij daarvoor gebruiken?”

Organisaties moeten ook een „redelijke” bewaartermijn hanteren voor persoonsgegevens die ze in huis hebben. Maar wat is redelijk? „Wij adviseren: denk vooraf na over welke bewaartermijn acceptabel is en documenteer dat”, zegt Alfrink. „Bijvoorbeeld: deze adressen bewaar ik twee jaar, om die en die reden.”

„We moeten met zoveel dingen rekening houden”, zegt ondernemer De Greef. „Hoe vertaal je de wet- en regelgeving naar mijn bedrijf? Er bestaat geen goede checklist voor kleine ondernemers zoals ik. Maar ondertussen lezen we wel over de boetes, en dat zijn geen milde bedragen.”

Boekhouder Marjon Zwaving uit Almere worstelt ook met de nieuwe wetgeving. „Zijn mijn data wel genoeg beveiligd in de cloud?”, vraagt ze zich af.

In de AVG staat ook dat consumenten het recht hebben op inzage in welke gegevens een onderneming over ze bewaart. Veel zzp’ers schrikken daarvan. Alleen: dat recht bestond al. „Er zijn een heleboel regels waarvan mensen denken dat ze nieuw zijn, maar die ook in de vorige wet stonden”, zegt Alfrink. „Deze oude wet bescherming persoonsgegevens was erg onbekend. Het is nu voor het eerst dat privacywetgeving op zo’n schaal tot mensen doordringt.”

Zelfs Belastingdienst niet op tijd

Maar dat kan niet alleen zzp’ers worden aangerekend. Accountants- en adviesfirma PwC deed onderzoek onder bijna vierhonderd middelgrote organisaties. Daarvan zei slechts 42 procent klaar te zijn voor de strengere privacyregels. Zelfs de Belastingdienst liet weten niet op tijd aan de wetgeving te voldoen. Sterker nog: de organisatie gaat ook de fout in als het om de vorige regelgeving gaat.

Het kon bijvoorbeeld recent nog niet aan het recht op inzage voldoen, terwijl de wetgeving daarover uit 2000 stamt. Zo probeerde Otto Volgenant, advocaat bij het kantoor Boekx, met een beroep op dat recht zijn gegevens op te vragen bij de Belastingdienst. Hij kreeg zijn gegevens pas toen de rechtbank in Amsterdam hem in januari dit jaar gelijk gaf.

Papierversnipperaar

Organisaties – groot én klein – hebben moeite met de wetgeving. Maar hoeveel kans lopen zzp’ers straks op boetes? Bij het uitdelen van boetes kijkt de Autoriteit Persoonsgegevens naar de omvang van de overtreding, of het gaat om opzet of ernstig verwijtbare nalatigheid en ook, en dat is gunstig voor zelfstandigen, naar de financiële omstandigheden van de overtreder. De toezichthouder vindt overigens dat het te weinig financiering krijgt, dus het heeft niet de capaciteit om met boetes gaan strooien.

Toch is de paniek groot. Facebookgroepen over de AVG puilen uit met vragen van ondernemers. En daar maken derde partijen weer handig gebruik van. Zo schrijft webshop in kantoorartikelen Pro Office dat je documenten met persoonsgegevens het best in „een metalen archiefkast” kunt bewaren en je doet ze „niet zomaar bij het oud papier”. Nee, gebruik liever een papierversnipperaar, of nog beter: „Een speciale papiervernietiger.” Heel toevallig verkoopt dezelfde site papiervernietigers van tussen de paar tientjes en 950 euro.