"Het gaat regelmatig mis", erkent woordvoerder Quinten Snijders van de AP over de datahonger van mkb-bedrijven. De toezichthouder is resoluut: bedrijven mogen niet meer persoonlijke informatie eisen dan de ondernemer per se nodig heeft.

Een restaurant mag best je naam, e-mailadres en telefoonnummer vragen als je een reservering maakt, geeft Snijders als voorbeeld. "Maar je adres, geslacht of geboortedatum zijn niet relevant. Die mag het restaurant dan ook niet opvragen."

Hoe meer persoonlijke gegevens een bedrijf van je bezit, hoe groter de gevolgen als die informatie op straat belandt. Dat risico is er altijd. "Bedrijven gaan vaak belabberd met cybersecurity om", zegt Rutger Leukfeldt. Hij staat aan het hoofd van een groep onderzoekers aan De Haagse Hogeschool die zich richt op cybersecurity in het mkb.

Jaarlijks krijgen tienduizenden middelgrote en kleine bedrijven te maken met een datalek, blijkt uit cijfers van het Centraal Bureau voor de Statistiek (CBS). Soms belanden persoonlijke gegevens door een interne fout op straat. Maar in de helft van de gevallen weet een hacker toegang te krijgen tot de data.

"Ondernemers onderschatten het risico", zegt Leukfeldt. "Ze zeggen: 'Ik ben als mkb'er toch niet zo interessant? Waarom zouden ze mij pakken?' Dat is een misvatting. Criminelen kijken eerst waar ze allemaal binnen kunnen komen en pas daarna wat er eigenlijk te halen valt."

"Uiteindelijk is de consument de dupe", zegt Leukfeldt. "Elke keer dat het gebeurt, weet je dat jouw gegevens wéér ergens vandaan zijn geplukt. Criminelen gebruiken die om hun aanvallen beter uit te voeren. Sommige kun je als oplichting herkennen, maar andere ook weer niet."

Daardoor kunnen slachtoffers uiteindelijk honderden of duizenden euro's verliezen. De regels om zo min mogelijk op te slaan bestaan om dat risico te verkleinen. "Wat je niet hebt, kan ook niet uitlekken", vat Snijders van de AP het samen.

Toch heeft handhaving van de datahonger van het mkb bij de AP geen prioriteit. De toezichthouder richt zich op grote incidenten en "kwaadwillende bedrijven die aan datahandel doen". Daar vallen mkb'ers doorgaans niet onder, aldus Snijders, maar de AP kan bij misstanden wel een onderzoek starten.

De AP heeft geen oneindige capaciteit en kiest daarom liever voor voorlichting om de privacyregels aan mkb'ers uit te leggen, zegt de woordvoerder. Bedrijven worstelen met de privacywet: ondernemers maken deze niet tot hun prioriteit en ze snappen niet altijd hoe ze de wet voor hun situatie moeten interpreteren.

Om duidelijkheid te geven, kan de AP gedragscodes goedkeuren. Daarmee moet voor een specifieke groep ondernemers duidelijk worden wat zij wel en niet mogen. De toezichthouder zit met negen brancheverenigingen in dat traject, maar tot nu toe is alleen een gedragscode voor de ICT-sector goedgekeurd.

Zolang er bedrijven zijn die meer gegevens eisen dan nodig, kan de klant alleen zichzelf beschermen. Wie zich bewust is van de risico's, kan voorkomen dat een bedrijf onnodig gegevens opslaat. Bijvoorbeeld door te zoeken naar andere manieren dan online bestellen, zoals bellen of langsgaan.

Privacyvoorvechters adviseren mensen die toch online willen bestellen soms om nepgegevens in te vullen. Als je een simpelweg een taart komt ophalen of een middag wil zwemmen, maakt het niet uit of de bakker of het zwembad een adres of telefoonnummer heeft dat niet bestaat. Mocht die informatie uitlekken, dan heeft een crimineel er ook niks aan.