Voor MKB-ondernemingen is het vaak minder vanzelfsprekend om prioriteit te geven aan verplichte privacy-documenten. Voor het vermijden van sancties van de AP hoefde je het als MKB-er in het afgelopen jaar ook nog niet te doen: de AP gaf vooral oordelen en instructies aan grote organisaties bij de overheid, in de gezondheidszorg en financiële instellingen. Maar er zijn zeker 3 redenen waarom het toch ook voor MKB’ers zaak is om werk te maken van AVG compliance.
2018 was het jaar van de AVG (Algemene Verordening Gegevensbescherming). Het belang van privacy kwam er flink mee in de schijnwerpers te staan. Veel bedrijven hebben hun handen vol gehad aan de implementatie van de AVG. Hoewel de inhoudelijke regels eigenlijk niet veel veranderd zijn, werd er door invoering van een ‘verantwoordingsplicht’ wel plots veel meer papierwerk nodig.
Vóór de AVG hoefde je je als ondernemer alleen maar aan de regels te houden. Nu moet je op diverse manieren ook kunnen aantonen dat je aan die regels voldoet. Een externe privacyverklaring op de website, een verwerkingenregister in de administratie, een paragraaf over privacy-beleid in het personeelshandboek; dat zijn nog slechts de minimale documentatievereisten, waar zelfs de kleinste en eenvoudigste organisatie aan moet voldoen. De Autoriteit Persoonsgegevens heeft bovendien de bevoegdheid gekregen om forse boetes op te leggen aan overtreders van de AVG. Voor grote organisaties was dat vaak een belangrijke reden om flink te investeren om op tijd aan alle vereisten van de AVG te voldoen. Maar er zijn zeker drie redenen waarom het ook voor MKB’ers belangrijk is om AVG compliant te zijn:
1. Omdat je ooit wilt cashen
Als uw bedrijf lekker draait, verdient u er nu goed de kost mee, maar bouwt u ook iets op. Uw bedrijf heeft waarde. Die waarde zit voor een belangrijk deel in het netwerk dat u heeft opgebouwd: uw klantenbestand, contacten bij leveranciers en andere strategische connecties. Mocht u uw bedrijf willen verkopen, zult u deze gegevens rechtmatig moeten overdragen. Tenzij u het netjes heeft geregeld in uw privacyverklaring, is dit niet een makkelijke taak. Bovendien is een check op de aanwezigheid van een verwerkingenregister en correcte verwerkersovereenkomsten tegenwoordig vaste prik in elke due diligence. Een negatieve score op dit punt kan een onnodige schaduw werpen over de onderhandelingen bij een bedrijfsovername.
Zonder privacy-documentatie vormt uw netwerk dus een liability, in plaats van de asset die het eigenlijk moet zijn. Laat de privacy compliance geen heet hangijzer worden bij de onderhandeling over een eventuele bedrijfsoverdracht, maar regel het. U plukt er later vruchten van.
2. Omdat je niet het beste jongetje van de klas wilt zijn, maar ook geen zittenblijver
Als de AVG íets bewerkstelligd heeft, is het: bewustwording. De AVG zorgt ervoor dat privacy een vast agendapunt is bij elke interactie tussen mens en organisatie. Het gevolg is dat zich een nieuw standaard verwachtingspatroon vormt: een bedrijf dat geen aandacht besteedt aan privacy, valt uit de toon.
U besteedt zorg aan de uitstraling van uw bedrijf, aan intelligente marketing en aan een professionele website. Uw privacyverklaring is daar een onderdeel van. Een site zonder privacy- en cookieverklaring is anno 2019 niet meer compleet. En oplettende klanten merken dat op.
We hoeven dat overigens niet zo negatief te bekijken: het idee dat het ontbreken van een privacy- en cookieverklaring een reputatierisico vormt, is maar één kant van het verhaal. Een goede privacy statement is ook een profileringskans. Een privacy statement is immers communicatie, net als de rest van de website. Schrijf hem in de unieke stijl van je bedrijf, en je zégt er daadwerkelijk ook wat mee.
3. Omdat de focus van de AP voortdurend verschuift
De eerste nieuwsfeiten die de AP na 25 mei 2018 publiceerde, gingen over controle op de aanstelling van FG’s (functionaris gegevensbescherming) bij overheidsinstellingen en in de gezondheidszorg, een oordeel over het gebruik van het BSN in btw-nummers door de Belastingdienst, een sanctie aan de Nationale Politie en een (vervolg)onderzoek bij Facebook. Het is verleidelijk om hieruit te concluderen dat de AP zich richt op grote spelers en zich niet echt bezighoudt met private bedrijven die relatief weinig persoonsgegevens verwerken. Maar dat is toch niet helemaal waar. De Autoriteit houdt ook steekproeven in de private sector. Zo is er in juli 2018 al een onderzoek gestart naar de aanwezigheid van verwerkingenregisters bij bedrijven in onder meer de industrie en metaal, bouw, handel, horeca, reisorganisaties en zakelijke dienstverleners. In november 2018 kwam de AP met openbare aanbevelingen op basis van de uitkomsten van het onderzoek. In januari van dit jaar heeft de AP aangekondigd dat ze opnieuw een steekproef gaat doen in private sectoren. Ditmaal controleert de AP of bedrijven hun verwerkersovereenkomsten op orde hebben.
Het ligt in de lijn der verwachting dat de AP steekproeven zal blijven doen, in alle lagen van bedrijvigheid in Nederland. Speerpunt van de AVG is immers om privacy-bewustzijn gemeengoed te maken (overigens met als doel: om de economische voordelen van de informatiemaatschappij te kunnen blijven benutten, door deze leefbaar te houden). Daarbij is een belangrijke functie van de AP, om het onderwerp bij iedereen hoog op de agenda te houden. We kunnen er dus niet vanuit gaan dat het MKB ontzien wordt.
Een geruststelling: de AP legt niet meteen boetes op, als er bij controle een tekortkoming wordt geconstateerd. Wel duurt het onderzoek langer, als een bedrijf niet direct aan de verantwoordingsplichten uit de AVG kan voldoen. De AP geeft vervolgens instructies ter verbetering (soms: onder dreiging van een dwangsom) en komt na de gestelde termijn controleren of de verbeteringen correct zijn ingevoerd. Kortom: een hoop gedoe, waar geen enkele onderneming op zit te wachten.
Dus: goed voorbereid zijn – op een bedrijfsoverdracht, op mondige klanten en op een eventuele controle – dat is een slimme keus. En een prettig gevoel!
Wilt u meer weten over de AVG? Dan kunt u contact opnemen met Inge Lakwijk of met één van onze collega's van de sectie IE/IT & Privacy.
Deze blog bevat algemene informatie en is met veel aandacht en zorgvuldigheid geschreven. Juridisch advies is echter altijd maatwerk. Wint u dus in een voorkomend geval altijd deskundig juridisch advies in. (Lees onze disclaimer).
