Europese privacywetgeving hoeft geen zwaard van Damocles te zijn

Per 25 mei 2018 geldt met de Algemene Verordening Gegevensbescherming (AVG) dezelfde privacywetgeving in de hele EU. Veel ondernemers hebben nog steeds niet echt door wat dit voor hen betekent.

Het is érg onverstandig om de kop in het zand te blijven steken en geen aandacht te schenken aan wat de AVG voor je eigen bedrijf betekenen gaat. Daar zijn de deelnemers aan het rondetafelgesprek over deze wetgeving het over een met elkaar. Het is best complexe materie maar dat mag geen reden zijn er maar helemaal niet aan te beginnen. Met Mark Huysmans, gastheer van het gesprek en registeraccountant bij Accountantskantoor Goorden & Huysmans, Henk Schippers van Schippers IT en veiligheidsdeskundige Bertwin van de Koevering  van AMVM Advies nemen we drie stellingen door.

Stelling 1: De nieuwe regels implementeren is voor kleinere bedrijven erg lastig.


Bertwin van de Koevering wijst erop dat met name de details van de uitvoering lastig kunnen zijn. Het is maatwerk namelijk, dat aan moet sluiten bij de praktijk en werkwijze van het betreffende bedrijf. Op een aantal punten heeft een kleinere organisatie het makkelijker dan grotere bedrijven. Er is niet de plicht om een eigen functionaris gegevensbescherming aan te stellen. Wel moeten kennis en uitvoering daardoor vaak elders gevonden worden. Verder zijn er meer verplichtingen voor bedrijven die extra gevoelige gegevens verwerken.

Henk merkt op dat het een behoorlijke ‘papierwinkel’ kan zijn: “Het begint al bij je boekhouding als je die uitbesteedt. Maar ook als je dergelijk werk aanneemt natuurlijk.” Mark legt uit dat er voor zijn sector contracten voor zijn opgesteld door de beroepsorganisatie. Dat neemt al wat zorgen uit handen.

Te veel info
Henk vertelt dat zijn bedrijf ondernemers in de regio een gratis scan aanbiedt van de website. Er wordt dan bijvoorbeeld gekeken naar of, hoe en waarom informatie van bezoekers wordt verzameld. Op basis daarvan kunnen organisaties advies en oplossingen aangedragen krijgen. Een simpel voorbeeld is de digitale nieuwsbrief waarop je in kunt schrijven. Nogal eens wordt te veel info gevraagd, zoals adressen en telefoonnummers. Die zijn helemaal niet nodig om een nieuwsbrief gemaild te krijgen. Nog zo’n punt is vaak de gasten-wifi. Het komt geregeld voor dat die toegang geeft tot info op servers of computers van een bedrijf. Het ontlokt aan Mark de opmerking dat je blijkbaar te snel vertrouwt op de dienstverleners die je automatisering hebben verzorgd, van de techniek tot een website. Maar techneuten die een netwerk aanleggen zijn niet per se bezig geweest met nieuwe AVG regels en een creatieve webdesigner is niet meteen een expert in online beveiliging. Een gegeven om goed in gedachten te houden dus.

Uiteindelijk is de mens altijd de zwakste schakel, constateert Bertwin. Belangrijk is daarom dat je processen heel goed in beeld hebt en eventuele lekken meldt. Er moet tevens bewustzijn gecreëerd worden, zodat medewerkers zich aan de spelregels houden. Bij grotere bedrijven kan dit een probleem worden. Zeker als er veel verloop is van personeel.

Stelling 2: Voor wie zich nog niet heeft voorbereid is het eigenlijk te laat.


“Wat is te laat?” Die vraag komt van Henk Schippers. Mark antwoordt: “Je hoeft eind mei niet alles volledig rond te hebben maar er wel op z’n minst serieus mee bezig zijn. Klaar ben je toch nooit, techniek verandert nu eenmaal continu.” En over het bewustzijn dat Bertwin noemde, haalt hij de e-mails aan die veel mensen op hun tablets en mobieltjes binnen krijgen; “Die dingen slingeren overal rond. Hoe veilig is dat?” Zijn tafelgenoten zijn het er over eens: onveilig! Het heeft wederom met bewustzijn te maken.

Bertwin vertelt over een praktijksituatie waar hij als Arbo-dienstverlener veel mee te maken heeft: “Ziekmeldingen van medewerkers komen nogal eens per mail binnen bij een bedrijf. Daar staat vaak in wat iemand mankeert. Dat is zeer gevoelige privacy-info, die wij absoluut niet mogen opslaan als we zo’n bericht doorgestuurd krijgen. We mogen het bij controle of bezoek ook niet vragen aan een medewerker. We mogen alleen informeren naar wanneer iemand denkt weer te kunnen werken..” Het kantoor van Mark is die stap ook aan het maken, vertelt onze gastheer: “We verzorgen immers loonadministratie en dan wordt eveneens wel eens meer meegedeeld dan dat wij hoeven weten.” De grote uitdaging is eigenlijk vooral om een aanpak te vinden die werkbaar blijft, is de conclusie aan tafel. Met goed advies en bijbehorende uitvoering van ervaren specialisten kom je een heel eind. Daarnaast is het een kwestie van consequent zijn.

Trollen
Volgens Henk is het niet alleen omwille van de privacywet belangrijk om je zaken snel goed voor elkaar te hebben. Hij is er van overtuigd dat er straks ‘trollen’ komen die systemen gaan afspeuren naar lekken. Vervolgens kunnen ze met rechtszaken serieuze claims opleggen namelijk en daar zal na 25 mei serieus geld mee te verdienen zijn. Een waarschuwing die er niet om liegt.

Stelling 3: Zaken doen wordt hier en daar ingewikkelder. Zeker als privacygevoelige gegevens door derden gebruikt of verwerkt moeten worden, of  zelfs maar in te zien zijn.


Mark Huysmans
spreekt uit ervaring als hij opmerkt: “Dit alles optuigen is wél een hoop werk! Je moet niet alleen intern informeren, ook klanten brengen we uitgebreid op de hoogte van de nieuwe aanpak. Zij moeten hun medewerkers eveneens informeren.” Al met al kost het een dienstverlener veel tijd en die is niet zomaar door te berekenen.

 

Desondanks is het verstandig het zo op te pakken, aldus Henk: “Zo veel mogelijk veiligheid inbouwen voorkomt veel potentiële problemen. Bovendien, je moet tóch mee met je tijd waar het automatisering en je werkwijzen betreft.”

Precair
Het delen van informatie, het werd eerder al opgemerkt, blijft een precaire kwestie. Bertwin geeft zijn gespreksgenoten een belangrijke tip mee: “Neem op in je voorwaarden en overeenkomsten dat je bepaalde informatie deelt met andere dienstverleners, als dat het geval is.” Hij wijst daarnaast op de ingewikkelde situatie die door de wet op bepaalde vlakken ontstaat. Wanneer een relatie aangeeft te verlangen dat diens informatie wordt verwijderd uit je systemen, dien je daar voor zo ver het mogelijk is aan te voldoen. Er gelden echter ook wetten die verplichten bepaalde gegevens voor een bepaalde tijd te bewaren. De belastingwet is daar een duidelijk voorbeeld van. Dan mag je alleen de informatie wissen die niet wettelijk bewaard moet worden, voor de daarbij geldende termijn.

De BSN-nummers van éénpitters zijn ook zo’n punt, vertelt Mark. Als eenmanszaak krijg je van de KvK nu nog hetzelfde nummer als btw-nummer en dat is persoonlijke informatie. In de praktijk zullen dus nog een hoop situaties voor vragen gaan zorgen, is de verwachting aan tafel. Maar daar komen vast ook weer antwoorden op in de vorm van nieuwe, aanvullende regels.

Deelnemers:
–  Bertwin van de Koevering, AMVM Advies, amvm.nl
–  Mark Huysmans, Accountantskantoor Goorden & Huysmans, ghaccountants.nl
–  Henk Schippers, Schippers IT, schippers-it.nl

Onze partners