AVG: veel werk of kleine moeite?

Wat hebben jouw vingerafdruk, e-mailadres, klantnummer bij de kledingwinkel en gegevens over gezondheid met elkaar gemeen? Dit zijn allemaal persoonsgegevens, zoals bedoeld in de Algemene verordening gegevensbescherming (AVG). Deze Europese wetgeving, sinds 2018 van kracht, heeft de spelregels voor het omgaan met persoonsgegevens flink aangescherpt. Niet langer is privacy een vrijblijvende zaak. Elke ondernemer die persoonsgegevens verwerkt, wordt geacht zich strikt aan deze wet te houden.

In de begintijd,  bij de invoering van de AVG zijn veel mkb’ers voortvarend aan de slag gegaan: privacyprotocollen werden opgesteld, verwerkersovereenkomsten getekend en moeten sommige bedrijven een Functionaris Gegevensbescherming (FG) of Data Protection Officer (DPO) aanstellen. Maar als ondernemer wordt er veel van je gevraagd en gaat de aandacht ook al snel uit naar andere onderwerpen: Netcongestie, stijgende energiekosten, personeelstekort, noem maar op! Het risico ontstaat dat privacybeleid binnen een bedrijf naar de achtergrond verschuift.

Als mkb-ondernemer moet je je echter bewust blijven van de risico’s die deze onoplettendheid met zich meebrengt. Door het gebruik van een loyaltyprogramma, het uitgeven van een tankpas en door het bijhouden van personeelsdossiers ben je als tankstationbedrijf al snel met veel verschillende soorten persoonsgegevens bezig. Onzorgvuldigheid bij het verwerken van deze gegevens kan zomaar tot grote problemen leiden. Het vertrouwen van klanten, personeel en leveranciers staat op het spel en als je niet op let heb je een fikse boete van de toezichthouder Autoriteit Persoonsgegevens aan je broek. Het lijkt misschien een ‘ver-van-je-bed-show’ maar bij een minimaal datalek kunnen de gevolgen groot zijn, voor reputatie en portemonnee.

Moet je als ondernemer dan zelf het zeer lijvige juridische stuk induiken? Nee, gelukkig niet! Op de website van de Autoriteit Persoonsgegevens, op Rijksoverheid.nl en op het online Ondernemersplein van de Kamer van Koophandel is volop informatie te vinden. Hier zijn handige checklists en stappenplannen te raadplegen. Gelijk effectief aan de slag? Dan adviseer ik je alvast periodiek een evaluatiemoment in te plannen voor over een aantal maanden. Is het protocol up-to-date? Zijn de collega’s goed op de hoogte? Zijn alle gegevens goed beveiligd? Het is een kleine moeite om periodiek even stil te staan bij de AVG, effectief én noodzakelijk.

Als je dan toch bezig bent met deze digitale onderhoudsbeurt, neem dan ook gelijk cyberveiligheid mee. Deze twee onderwerpen gaan hand in hand en dragen bij aan een (digitale) professionele werkomgeving. Bij vragen denken we vanuit het Drive-secretariaat gelukkig altijd met je mee!

Steven Stroet is jurist arbeids- en ondernemingsrecht bij het secretariaat van Drive. Reageren? steven@drivenederland.nl