‘De AVG is voor ondernemers niet altijd duidelijk’

ondernemers en de avg

Wat binnen de privacywet AVG is toegestaan en wat niet, is voor mkb-bedrijven niet altijd duidelijk. Sommige ondernemers denken dat bijna niets meer mag, anderen realiseren zich onvoldoende dat hun handelwijze niet strookt met de wet. De informatievoorziening vanuit de Autoriteit Persoonsgegevens is ook niet altijd helder. Een meer op de praktijk gerichte uitwerking van de wet zou wenselijk zijn.

Serie: 5 jaar AVG

In het kader van 5 jaar AVG in Nederland publiceren we elke maand een interview met een expert op het gebied van privacy. Deze maand is het de beurt aan Charlotte Meindersma, jurist en adviseur van ondernemers.

Na vijf jaar ervaring met de AVG komt juriste Charlotte Meindersma tot deze bespiegelingen. Ze spreekt uit ervaring. Vanuit haar eigen bedrijf adviseert en begeleidt ze ondernemers. Het gaat met name om bedrijven die geen eigen functionaris gegevensbescherming in dienst (hoeven te) hebben. Meestal zijn het ondernemingen met maximaal vijftig werknemers. Haar specialiteit is de vertaling van de wet naar het handelen in de praktijk. Ze spreekt in taal die iedereen begrijpt. Op veel juridisch jargon kun je haar niet betrappen. Het beeld wijkt af van dat van veel van haar collega’s. Dat herkent ze wel. Bij het adviseren is haar insteek ook anders. ‘Juristen hebben vaak de houding om te kijken naar wat allemaal niet kan en mag. Ik wil graag zoeken naar alternatieven: wat kan wél? Daar help je ondernemers mee.’ 

Sommigen zijn bang om ook maar iets verkeerds te doen en leggen zichzelf onnodig beperkingen op

Bewustwording

‘Ik kom alle soorten ondernemers tegen’, vertelt ze. ‘Sommigen zijn bang om ook maar iets verkeerds te doen en leggen zichzelf onnodig beperkingen op. Anderen vinden al dat gedoe over privacy maar hinderlijk voor hun ondernemerschap.’ In beide gevallen komt advies goed van pas. Bewustwording is een belangrijk facet van haar activiteiten. Daarnaast ondersteunt ze ondernemers door aan te geven hoe je aan de wet kunt voldoen zonder dat je wordt afgeleid van de kernactiviteit van de onderneming. Ze vergelijkt aandacht voor AVG met het inrichten en op orde houden van je boekhouding: het is noodzakelijk, maar mag niet teveel energie kosten. Eén van die aspecten van bewustwording is de keuze van software en cloudopslag van gegevens. Zonder zich de consequenties te realiseren, komen ondernemers vaak uit bij Amerikaanse aanbieders. Meindersma wijst ze er dan op dat de AVG streng is ten aanzien van dataopslag en -verwerking buiten de Europese Unie en adequate landen.

Slordig

Ondernemers die menen dat al die aandacht voor privacy overdreven is, houdt ze de spiegel voor. Ze roept hen op te denken als persoon, als klant van een ander bedrijf. Ze stelt vragen als: ‘Hoe zou je het vinden als dat bedrijf slordig met jouw persoonlijke data om zou gaan? Als je een groot risico loopt dat jouw bankgegevens door een hack op straat liggen? Wat vind je van het idee dat ze allerlei gegevens van jou in hun systemen bewaren of aan anderen doorgeven?’ Op zo’n moment, zegt Meindersma, zie je dat ze opeens anders gaan denken over de materie. Dat is precies de bedoeling. Het oer-Hollandse gezegde komt om de hoek kijken: ‘Wat je niet wilt dat jou geschiedt, doe dat ook een ander niet.’ Voor Meindersma telt dat ondernemers bewuster keuzes maken over het bewaren van gegevens en er zorgvuldig mee omgaan. Alsof het hen persoonlijk betreft. ‘Je moet kijken naar je bedrijf alsof je je eigen klant bent’. 

Hoe zou je het vinden als dat bedrijf slordig met jouw persoonlijke data om zou gaan?

Paniek

Terugkijkend op haar activiteiten tijdens vijf jaar AVG is de aandacht verlegd. ‘In het begin ging het over het opstellen van privacyverklaringen en het uitleggen wat de nieuwe wet behelsde. Soms was er ook paniek: wat kom er allemaal op mij af? Dat was vaak niet terecht, want er bestond al veel langer wetgeving over bescherming van persoonsgegevens. De AVG zette het thema echter veel prominenter op de kaart. De noodzaak om zorgvuldig om te gaan met data, is inmiddels ingedaald. Bedrijven zijn ermee bezig. Ze ervaren dat ze klanten hebben die het onderwerp ter sprake brengen. Het is net als bij het auteursrecht en het arbeidsrecht: je hebt er als onderneming mee te maken. Je kunt de verplichtingen niet negeren. Tegenwoordig is de vraag dan ook: hoe ga ik er het beste mee om?’ Dat zal ook gaan gelden voor de nieuwe Europese cybersecuritywet NIS2 die in 2024 van kracht wordt. ‘Als je als ondernemer niet de grenzen opzoekt, zal deze regelgeving niet zoveel impact hebben’, verwacht Meindersma.

Knelpunt

Zijn er dan geen problemen meer? Is alles voor iedereen duidelijk? Die conclusie trekt Meindersma nadrukkelijk niet. Er is voor haar nog altijd werk aan de winkel. Sprekend over de wet en de handhaving door de Autoriteit Persoonsgegevens, legt ze een aantal keer de vinger op de zere plek. Een duidelijk knelpunt is de overdracht van gegevens naar techbedrijven en softwareleveranciers die in Amerika hun thuisbasis hebben. ‘Er is meer duidelijkheid gewenst hoe we daarmee moeten omgaan. Ook de beoordeling van het ‘gerechtvaardigd belang’ zoals dat in de wet staat, is voer voor discussie. De AP in Nederland is uiterst streng. In andere Europese landen kijken ze er anders tegenaan. Dat kan van invloed zijn op de concurrentiepositie van bedrijven.’ Ze pleit dan ook voor een harmonisatie binnen Europa van de inhoudelijke interpretatie van de grondslag van gerechtvaardigd belang. Die interpretatie is nu niet overal hetzelfde.

Richting de AP is haar oproep om pragmatischer te werken. Beter aansluiten bij de praktijk van alledag. ‘Bij de informatievoorziening richting algemeen publiek en ondernemers kiest de Autoriteit te vaak voor een interpretatie van de wet die zaken verbiedt. Terwijl vanuit juridisch oogpunt een genuanceerde uitleg mogelijk is. In die gevallen zou de AP er goed aan doen de informatie achterwege te laten’, meent Meindersma. ‘Nu schep je onduidelijkheid bij het publiek en bij bedrijven en daar help je niemand mee.’

We moeten ervoor waken op een glijdende schaal terecht te komen

Criminelen

Privacy en een gevoel van rechtvaardigheid staan soms op gespannen voet met elkaar, leggen we haar voor. In kringen van winkeliers bijvoorbeeld klinkt geregeld de verzuchting dat de privacywet criminelen bevoordeelt boven ondernemers. Je mag een foto van iemand die een aantal keer is betrapt op winkeldiefstal niet zo maar met je collega’s in het winkelcentrum delen. Meindersma vindt discussies over de reikwijdte van de privacywetgeving begrijpelijk. Toch gaat ze niet mee met het onderbuikgevoel. ‘Ik snap het sentiment als geen ander. Maar we moeten ervoor waken op een glijdende schaal terecht te komen. Kenmerk van het recht is dat we geen eigen rechter moeten spelen.’ Ze voegt er meteen aan toe: ‘Je mag wel verwachten dat er meer duidelijkheid komt over wat is toegestaan. Er zijn hele discussies over bijvoorbeeld de beelden van een slimme deurbel of camera’s bij huizen. Volgens de één moet je ze fysiek afplakken als ze de openbare ruimte te veel in beeld brengen, een ander meent dat het volstaat als je dat via de software van het systeem regelt. Dat is nou zo’n praktisch voorbeeld van onduidelijkheid. Daar zijn nog wel wat verbeteringsslagen te maken.’

Probeer AVG-support.nl 30 dagen gratis

Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.

  • toets je organisatie en neem noodzakelijke maatregelen
  • maak gebruik van alle juridische documenten
  • behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt

Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.

Lees ook:

Privacy Statement: waar moet je aan voldoen?

AVG: wat zijn de regels?

50% websites slecht voorbereid op datalek

Consument vraagt om meer controle over persoonsgegevens

Meer nieuws

Vinted krijgt miljoenenboete voor schending AVG-regels

Het kledingplatform Vinted heeft een boete van bijna 2,3 miljoen euro gekregen van de Litouwse privacytoezichthouder SDPI. Het bedrijf heeft de Europese AVG-privacywet overtreden door niet goed om te gaan met verzoeken van gebruikers om hun persoonlijke gegevens te verwijderen. Lees meer

Recente datalekken en praktische tips om ze te voorkomen

Datalekken zijn nog steeds een groot risico en kunnen elke organisatie treffen. Hier zijn drie recente voorbeelden die laten zien waarom we altijd alert moeten blijven op het beschermen van persoonlijke gegevens. Lees meer

Hoe zorg je voor AVG-bewustwording binnen je organisatie?

Het naleven van de AVG is een gezamenlijke inspanning van iedereen in de organisatie. Maar hoe betrrek je medewerkers of vrijwilligers hierbij? In dit artikel delen we praktische tips en methoden om de AVG-bewustwording binnen jouw organisatie te vergroten.  Lees meer