AVG tikkende tijdbom voor kleine mkb?

Het lachen om de nieuwe privacywet is kleine bedrijven vergaan. De AVG is net zo goed voor hen. Alleen heeft de Autoriteit weinig capaciteit voor controle.

Ook kleine mkb-bedrijven moeten zich aan de nieuwe privacywetgeving houden. Tot voor kort meenden de ongeveer 1,2 miljoen éénpitters en bedrijven met maximaal tien werknemers weinig te duchten te hebben van de Algemene Verordening Gegevensbescherming (AVG) als die 25 mei ingaat. Maar de vrijstellingsclausule in de wet blijkt een lege dop.

Want elke ‘niet incidentele opslag van persoonsgegevens’ leidt wel degelijk tot een meldingsplicht. MKB Nederland luidt in het FD de noodklok over de gevolgen, omdat bij kleine bedrijven zowel kennis van de AVG als middelen om die in te kopen, zouden ontbreken.

Lees ook: Privacywet avg veiligheidsrisico's papieren data vaak onderschat

Streng handhaven

Maar Aleid Wolfsen, Autoriteit Persoonsgegevens (AP), heeft er nooit een geheim van gemaakt streng te zullen handhaven. “De AVG geldt vanaf 25 mei. Wij hebben veel energie gestoken om iedereen te informeren, ook over de consequenties. We kunnen vanaf die datum handhaven en dat zullen we doen ook. En realiseren ons dat het best wat werk is voor bedrijven en organisaties om alle processen en producten AVG-proof te maken. Tegelijkertijd is het al twee jaar bekend dat de AVG aanstaande is”, zei Aleid Wolfsen over de AVG eerder in een interview met AccountantWeek.

“Boete soms beter”

Wolfsen benadrukt in dat interview dat sancties geen doel op zichzelf zijn en vooral problemen te willen oplossen. “Soms kan een snelle interventie het beste werken, dus een telefoontje naar de organisatie dat men mogelijk in overtreding is. Soms is een sanctie in de vorm van een last of boete beter op zijn plaats. En onze boetebevoegdheden worden onder de AVG uitgebreid, het opleggen ervan wordt laagdrempeliger. We hoeven niet meer te bewijzen dat er opzet in het spel is.”

De boetes kunnen oplopen tot 20 miljoen euro of 4 procent van de jaaromzet van overtreders. En omdat elk bedrijf, hoe klein ook, wel structureel klantenbestanden bijhoudt, is het melden en laten registeren daarvan verplicht. Die extra administratieve kosten zouden de branche een half miljard euro kunnen gaan kosten.

Op de ZZP stoep

Met als kanttekening dat de Autoriteit Persoonsgegevens welgeteld 120 mensen in dienst heeft voor controles. Kans dat één van hen uitgerekend op de stoep van een ZZP’er of ondernemer met minder dan tien mensen in dienst staat, lijkt te verwaarlozen.

Maar Aleid Wolfsen waarschuwt: “Bij de AVG draait het natuurlijk om meer dan alleen beveiliging van de computersystemen. Het gaat bijvoorbeeld ook om de grondslagen waarop een verwerking plaatsvindt. De technologische ontwikkelingen staan niet stil en dat betekent weer dat persoonsgegevens op meer manieren kunnen worden verwerkt. De AVG dwingt bedrijven om eerst goed na te denken of iets wel mag, ongeacht de onderliggende IT.”