De nieuwe privacywet Algemene verordening gegevensbescherming (AVG) is op 25 mei in werking getreden. Organisaties worden hierdoor verplicht om precies te documenteren welke persoonsgegevens van wie ze in bezit hebben, hoelang ze die bewaren en wat ze ermee doen. Voor ondernemers zijn er veel dingen om op te letten.

Tot voor kort hadden alle Europese lidstaten nog eigen richtlijnen voor het omgaan met persoonlijke gegevens. Met de komst van de AVG is dat veranderd.

Volgens de Autoriteit Persoonsgegevens, de instantie die verantwoordelijk is voor handhaving van de wet, is de belangrijkste verandering voor ondernemers dat ze nu een verantwoordingsplicht hebben. Met documenten moet je kunnen aantonen dat je ''de juiste organisatorische en technische maatregelen hebt genomen om aan de AVG te voldoen''.

Overzicht

Advocaat Wouter Dammers van de organisatie LAWFOX is gespecialiseerd in internetrecht. Volgens hem is het voor ondernemers vooral belangrijk om overzicht te krijgen. ''Breng de situatie in kaart alsof het je financiële administratie is'', tipt de advocaat. ''Waar vooral naar gekeken gaat worden, is dat je je gegevens goed op orde hebt. Je moet kunnen aantonen dat je het goed geregeld hebt.''

Waar je daarbij vooral op moet letten, is dat je organisatie in overeenstemming werkt met wettelijke privacybeginselen. ''De verwerking van persoonsgegevens moet aan duidelijke doelen gebonden zijn'', legt Dammers uit. ''Als je bijvoorbeeld de gegevens van klanten bijhoudt, dan moet je kunnen uitleggen welk doel je daar bij hebt. Dat doel kan gewoon zijn dat je contact met ze kunt opnemen.''

Stappen

Voor het op orde brengen van je organisatie moet je verschillende stappen doorlopen. Eerst breng je dus in kaart welke persoonsgegevens er zoal in jouw organisatie bewaard worden en maak je daar een soort inventaris van. Vervolgens moet je twee verschillende trajecten doorlopen.

''Er is een intern verwerkingsregister waarin je precies moet bijhouden welke gegevens je bewaart en met welk doel'', zegt Dammers. ''Je moet daarin de bewaartermijn aangeven, vertellen aan wie je de gegevens verstrekt en of dat alleen binnen Europa is of ook daarbuiten.''

Het tweede traject is dat je een aantoonbaar privacybeleid moet hebben. ''Je moet degene van wie je gegevens bewaart, bijvoorbeeld je klant, informeren wat je van hem weet en wat je ermee doet.'' Houd er daarbij rekening mee dat de klant in de nieuwe wet echt koning is: hij krijgt het recht op inzage en verwijdering, maar ook op dataportabiliteit. Dat is het recht om data op te vragen en door te geven aan andere organisaties.

Valkuil

''Er is in principe geen rangorde in wat je op orde moet hebben en wat het belangrijkste is voor een organisatie verschilt nogal'', zegt jurist Matthias de Bruyne van de brancheorganisatie voor data en marketing DDMA. ''Voor de ene organisatie zal het prioriteit hebben om het privacystatement en de registratiepagina's te herschrijven, terwijl een andere organisatie beter eerst kritisch kan kijken naar de betrouwbaarheid van organisaties waar zij mee samenwerken.''

Want dat is wel een valkuil, waarschuwt De Bruyne: de AVG heeft betrekking op de hele keten, dus ook op eventuele derde partijen die de opdracht uitvoeren. ''Denk bijvoorbeeld aan een event dat je organiseert als sponsor en waarbij je samenwerkt met een evenementenbureau, dat op zijn beurt weer werkt met externen voor de kaartverkoop, het printen van badges en de catering, die persoonlijke dieetwensen bijhoudt.''

Data-sheriff

Heb je je inventaris gemaakt, dan komt een volgende verplichting om de hoek kijken: je moet in sommige gevallen een Data Protection Officer (DPO) aanstellen. Dit is iemand die binnen de organisatie toezicht houdt op de naleving van de privacyregels.

Over deze 'datasheriff' hebben de bij DDMA aangesloten organisaties de meeste vragen. ''Er bestaan veel misverstanden over'', zegt De Bruyne. ''Bijvoorbeeld dat iedereen zo'n DPO moet hebben. Dat is niet zo, het gaat alleen om overheidsinstellingen, organisaties die op grote schaal bijzondere persoonsgegevens verwerken, zoals ziekenhuizen en bedrijven die stelselmatig individuen observeren.''

Toch raadt De Bruyne ondernemers aan dit deel van de wet wel serieus te nemen. ''Het is nog niet 100 procent duidelijk wanneer een DPO wettelijk verplicht is. Wij raden aan om bij twijfel een DPO aan te stellen of zorgvuldig vast te leggen op basis van welke afwegingen je hebt besloten dat dit niet nodig is.''

Sancties

Op het overtreden van de AVG staan fikse straffen. Het kan ondernemers 4 procent van hun jaaromzet kosten als ze hun zaken niet op orde hebben. Hoe reëel is het gevaar dat ondernemers echt met torenhoge boetes geconfronteerd gaan worden? Advocaat Wouter Dammers denkt dat dat wel meevalt. ''Je bent pas het haasje als je onder het vergrootglas ligt. De Autoriteit Persoonsgegevens (AP) heeft een beperkte capaciteit en heeft zijn handen al vol aan Facebook en Google. Een kleine mkb'er zal niet meteen de klos zijn.''

Matthias de Bruyne van DDMA wijst erop dat de AP nog een klachtenloket moet opzetten voor mensen die zich in hun privacy aangetast voelen. Maar hij sluit niet uit dat er sancties komen.

''De AP heeft in interviews benadrukt dat boetes niet het einddoel zijn, maar het zwaarste middel om te handhaven. Daar werd wel bij gezegd dat de autoriteit als het echt nodig is niet terugdeinst voor hoge boetes. Een mogelijkheid is dat direct na de 25e een organisatie wordt aangepakt om een voorbeeld te stellen naar de markt.''

Spannender

Niet in paniek raken, maar er wel werk van maken, dat lijkt het devies voor ondernemers. Want zo veel nieuws is er nu ook weer niet onder de zon, benadrukt advocaat Dammers. ''Accountants maken het iets spannender dan het is. Volgens de Wet bescherming persoonsgegevens moet je al zorgvuldig met de privacy omgaan; de AVG brengt de verplichting mee het meer op schrift te stellen en er verantwoording over af te leggen.''

Aan de andere kant: als je er tot nu toe nog helemaal niet over hebt nagedacht en je pas op het laatste moment bent begonnen met het doorlopen van alle stappen, dan ben je de eerste tijd wel in overtreding, zegt Dammers. ''Je moet er wel een paar dagen echt voor gaan zitten.''

Volgens Matthias de Bruyne levert de nieuwe wet ook kansen op. ''Dat data een steeds integraler onderdeel vormen van de economie is een feit. Dat brengt verantwoordelijkheden met zich mee, en daar moet je als organisatie gewoon goed mee omgaan. Als je ervoor zorgt dat je hierin uitblinkt, kun je een voordeelpositie creëren.''