Nieuwe privacyregels: Ondernemers, wakker worden!
Privacyadministratie? Check! Beveiliging klantgegevens in orde? Check! Datalekplan? Check! Nog een jaartje en geen ondernemer ontkomt er nog aan die vragen aan zichzelf te stellen.
Door Loek Mulder
'Niets doen is geen optie'. De Groningse advocaat en privacyspecialist Koen Konings wil het noordelijk bedrijfsleven niet de stuipen op het lijf jagen, maar dat ondernemers langzamerhand wakker moeten worden en gaan nadenken over de nieuwe privacyregels, dat is wat hem betreft een feit.
Aanscherping
In mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking, een Europese verordening. Taaie kost die erop neerkomt dat de bestaande privacywetgeving wordt aangescherpt.
De nieuwe regels zijn vooral bedoeld om veilig verwerken van persoonsgegevens te garanderen en lekken te voorkomen. Het verbetert de rechten van degene wiens persoonsgegevens worden bewaard, maar de meeste veranderingen zijn voor rekening van de bedrijven, overheden en andere organisaties die verantwoordelijk zijn voor het bewaren van die data.
Niets doen is geen optie
Boetes
Wat ook wijzigt, dat zijn de boetes voor overtreding en de verplichting die landen hebben de regels na te leven. 'De boetes zijn enorm, ze kunnen oplopen tot vier procent van de jaaromzet', zegt Konings van ZENN Advocatuur. 'Je kunt zeggen dat de wetgever tanden heeft gekregen.' Met die nieuwe stok achter de deur zal handhaving van de regels ook strenger gebeuren dan nu, voorspelt Konings.
Bakker op de hoek
Konings benadrukt dat de nieuwe privacyvoorschriften echt niet alleen gelden voor ziektekostenverzekeraars die werken met vertrouwelijke medische gegevens of banken die financiële data beheren. De nieuwe regelgeving is al heel snel van toepassing, zegt Konings: 'De bakker op de hoek zal er misschien weinig mee te maken krijgen. Maar zodra hij een webshop begint verandert dat want dan heeft hij al snel een klantenbestand.'
Ieder bedrijf dat met persoonsgegevens werkt zal wat met de nieuwe privacyvoorschriften moeten. De grootte van de onderneming doet er niet toe. Een eenmanszaakje die gebruikersprofielen verzamelt voor marketingdoeleinden moet er zeker ook aan geloven, aldus Konings. Minstens '95 procent van alle bedrijven krijgt ermee te maken', stelt de jurist.
Eén hand
'Het aantal bedrijven dat er al actief mee bezig is kun je op één hand tellen', zegt Mathieu Paapst, internetrecht-jurist en mede-eigenaar van het Groningse adviesbureau ICTRecht. Dan is er een categorie argelozen, maar Paapst ziet toch ook dat veel bedrijven zich nu oriënteren. 'We merken het aan het aantal aanvragen dat we krijgen van bedrijven die wat met privacy-management willen.'
Eén hand
'Het aantal bedrijven dat er al actief mee bezig is kun je op één hand tellen', zegt Mathieu Paapst, internetrecht-jurist en mede-eigenaar van het Groningse adviesbureau ICTRecht. Dan is er een categorie argelozen, maar Paapst ziet toch ook dat veel bedrijven zich nu oriënteren. 'We merken het aan het aantal aanvragen dat we krijgen van bedrijven die wat met privacy-management willen.'
'Het aantal bedrijven dat er al actief mee bezig is kun je op één hand tellen'
Het zadelt hoe dan ook bedrijven met extra werk op. 'Het kost best veel tijd en inspanning om alles op orde te krijgen', zegt Paapst. 'Maar er is ook een categorie die een concurrentievoordeel in ziet en er snel mee aan de slag wil.' Een bedrijf dat laat zien dat het de privacy-zaken goed op orde heeft zal immers eerder klanten trekken, meent Paapst.
Vooroplopen
'Ik schat dat 95 procent van alle webwinkels niet voldoet aan de nieuwe regels en in aanmerking komt voor die boete', zegt een online-ondernemer in Groningen. 'De meeste webshops bestaan uit slechts één persoon. Wanneer handhaving strikt gebeurt, dan worden die bedrijven zo het faillissement in geholpen.' De ondernemer wil zijn naam niet in de publiciteit, want reken maar dat dat juist controles uitlokt, zegt hij. 'En dat kost alleen maar negatieve energie.'
Zijn bedrijf heeft alles tiptop in orde, bezweert hij. Er is een hoofd beveiliging, het bedrijf voldoet aan de documentatieplicht en beveiliging van klantgegevens is in een reeks procedures vastgelegd. Gaat er wat mis, dan is er een datalekplan. 'Ik weet vrij zeker dat we vooroplopen.'
Wat verandert er?
- Een bedrijf moet ieder moment kunnen aantonen dat persoonlijke gegevens veilig worden bewaard en dat dit regelmatig wordt gecontroleerd.
- Om veiligheid van data te waarborgen moet er een privacyadministratie komen. Daarin staat onder meer waarvoor data worden gebruikt, hoe de zaak beveiligd is en hoe er met lekken wordt omgegaan.
- Verplichting om datalekken te melden
- Aanstelling van een privacymanager wordt verplicht voor organisaties die veel gegevens bijhouden. Die houdt de veiligheidsrisico's rond bewaarde gegevens in de gaten.
- Het recht op inzage en recht om vergeten te worden. Iedereen kan zijn persoonsdata opvragen die van hem worden bewaard. Ook krijgen burgers het recht online vergeten te worden.
- Privacywaakhond Autoriteit Persoonsgegevens kan hoge boetes opleggen aan bedrijven die persoonsgegevens onveilig bewaren, kwijtraken of lekken niet melden.
- Burgers die ontevred en zijn over hoe bedrijven hun persoonsgegevens bewaren kunnen bij de Autoriteit Persoonsgegevens terecht. Ook met klachten over buitenlandse bedrijven. Voorheen moesten privacyklachten over Facebook bijvoorbeeld in Ierland worden gemeld.
- Om veiligheid van data te waarborgen moet er een privacyadministratie komen. Daarin staat onder meer waarvoor data worden gebruikt, hoe de zaak beveiligd is en hoe er met lekken wordt omgegaan.
- Verplichting om datalekken te melden
- Aanstelling van een privacymanager wordt verplicht voor organisaties die veel gegevens bijhouden. Die houdt de veiligheidsrisico's rond bewaarde gegevens in de gaten.
- Het recht op inzage en recht om vergeten te worden. Iedereen kan zijn persoonsdata opvragen die van hem worden bewaard. Ook krijgen burgers het recht online vergeten te worden.
- Privacywaakhond Autoriteit Persoonsgegevens kan hoge boetes opleggen aan bedrijven die persoonsgegevens onveilig bewaren, kwijtraken of lekken niet melden.
- Burgers die ontevred en zijn over hoe bedrijven hun persoonsgegevens bewaren kunnen bij de Autoriteit Persoonsgegevens terecht. Ook met klachten over buitenlandse bedrijven. Voorheen moesten privacyklachten over Facebook bijvoorbeeld in Ierland worden gemeld.
'Dan kan ik wel ophouden met ondernemen'
'Nieuwe privacyregels?' Esther de Jonge van webshop
in Scheemda reageert verbaast. Nee, daar heeft ze zich nog niet in verdiept. 'Ik heb het veel te druk met ondernemen. Wanneer het aan de orde is, ga ik er mee aan de slag.'
Esther verwerkt zo'n duizend orders per maand en daarvoor heeft ze altijd de gegevens van klanten nodig. Maar wat er precies met die persoonlijke data gebeurt, daar heeft ze nauwelijks zicht op. Haar webshop draait op het systeem van mijnwebwinkel.nl en de organisatie daarachter beheert het klantsysteem.
'Wanneer ik ook nog een privacy-administratie moet bijhouden, kan ik wel ophouden met ondernemen', meent Esther. 'Ik denk dat het geldt voor heel veel kleine webwinkels.'
Volgens Dirk Boersma van customer care van mijnwebwinkel.nl kan Esther veilig haar webshop blijven runnen. Boersma lat per mail weten: 'Wij zijn op de hoogte van de regelgeving en nemen samen met onze hostingprovider de maatregelen die nodig zijn om aan de regelgeving te voldoen.'
'Ik ga me er nog in verdiepen'
'Ik weet dat er een verandering aankomt', zegt Alex Koning van
dat exclusieve en peperdure horloges verkoopt. De Belastingdienst heeft al wel eens gecheckt of klanten geld witwasten via de webshop van Koning, maar een privacycontrole heeft hij nog niet meegemaakt.
'Wij slaan de gegevens elders op. Dat is volgens mij het handigst. We bewaren wel de klantgegevens. Dat doen we omdat het voor klanten dan eenvoudiger is bestellingen te doen.'
Klanten wordt om toestemming voor het opslaan van gegevens gevraagd. Koning gebruikt die niet voor marketing. 'In de voorwaarden staat wel dat mensen kunnen worden aangeschreven, maar dat doen we niet. Mensen stellen het niet op prijs.'
Hoe Koning dat onder de nieuwe privacyregels gaat passen, weet hij nog niet. 'Zover is het nog niet. Ik ga me erin verdiepen.'
Lees meer NoordZaken verhalen op: www.rtvnoord.nl/noordzaken
