Waarom ondernemers worstelen met de nieuwe privacywet AVG

Zeker dertig uur heeft winkelier Bianca Vlooswijk – in Oudewater bekend als ‘het Kaasmeisje’ (tevens de naam van haar zaak) – besteed aan het doorgronden van de AVG, de algemene verordening persoonsgegevens. Deze Europese privacywetgeving wordt vrijdag van kracht. Elk Europees bedrijf, van multinational tot buurtsuper, is eraan gebonden. De wet komt de privacy van klanten ten goede, ondernemers krijgen er kloppende koppijn van.

Verstrikt in het dichte struikgewas

Kaasmeisje Bianca is illustratief voor honderdduizenden ondernemers die worstelen met de AVG. En met haar twee kaaswinkels in Oudewater en Montfoort is zij nog slechts een kleine speler. Op bescheiden schaal ‘verwerkt’ Vlooswijk persoonsgegevens. Op haar website staat een contactformulier, zo nu en dan stuurt ze een mail of factuur naar een klant of bedrijf, af en toe plaatst ze een foto op Facebook met daarop een klant of medewerker. De personeelsadministratie gaat via een payrollbedrijf. ‘Het is eigenlijk helemaal niks.’

Toch raakte ze volledig verstrikt in het dichte struikgewas van de AVG. Ze had haar agenda leeggemaakt, had er een ‘project’ van gemaakt. Maar de AVG bleek ongelooflijk weerbarstig. ‘Hoe verder je erin duikt, hoe meer je ontdekt dat zoveel nog niet duidelijk is.’ Met de deadline in zicht komt Vlooswijk happend naar adem boven. Het Kaasmeisje is (bijna) privacywetgeving-proof.

Ze heeft minutieus gedocumenteerd hoe ze omgaat met persoonsgegevens. Haar webdesigner legt haar site langs de AVG-lat. Onder aan haar mails staat voortaan een disclaimer. Ze schreef een privacystatement van vijf pagina’s waarin ze de klant uitlegt wat er met zijn gegevens gebeurt. Die verklaring begint met sussende woorden: ‘Het Kaasmeisje doet niets geks met je gegevens.’

Potentieel bloedbad

In april 2016 stemde het Europees Parlement in met de nieuwe EU-brede privacywet: een epistel van 99 artikelen, bij elkaar 80 pagina’s. De tijd van ongebreidelde datavergaring is voorbij. Alle bedrijven en instanties, van datagiganten als Facebook tot, letterlijk, de kaasboer, moeten precies aan hun gebruikers en klanten kunnen uitleggen wat zij met hun gegevens doen. De klant krijgt het recht om data in te zien, te corrigeren en te laten verwijderen. Bedrijven kregen sinds 2016 twee jaar de tijd om zich voor te bereiden.

Vanaf vrijdag gaat de Autoriteit Persoonsgegevens (AP) handhaven. De toezichthouder is bevoegd om (in het uiterste geval) een boete uit te delen van 20 miljoen euro of 4 procent van de jaaromzet. Het kan een bloedbad worden. Ondernemersvereniging MKB Nederland publiceerde begin mei zorgwekkende cijfers: ruim 70 procent van de gepeilde 2.800 bedrijven was nog niet klaar voor de wet. Meer dan een derde had nog nooit van de AVG gehoord. Vier op de vijf ondernemers klaagde over de slechte voorlichting door de overheid.

In deze chaos staan slimmeriken op die de verdwaalde ondernemer tegen een vergoeding een uitweg beloven. De jonge jurist Maarten de Man doopte zijn advieskantoor een jaar geleden om in AVG Juristen en hielp sindsdien 25 klanten met ‘compliant’ worden. ‘Bedrijven weten niet waar ze moeten beginnen’, zegt hij. ‘Het gaat om vragen als: ‘We versturen persoonsgegevens per mail, mag dat?’’ Hij en zijn twee compagnons hebben er een dagtaak aan.

Ook na vrijdag hebben ze genoeg klandizie. De drie juristen zijn in te huren als Functionaris Gegevensbescherming (FG). Voor 137 euro per uur komen ze een dag per maand of kwartaal bij het bedrijf langs om de gegevensverwerking te controleren. Zo’n ‘dataofficier’ heeft Vlooswijk voor haar kaaswinkels niet nodig, maar overheidsinstanties zijn wel verplicht een FG aan te stellen en veel grotere bedrijven ook. Telecomproviders bijvoorbeeld die communicatie van hun klanten verwerken, of beveiligingsbedrijven die met camera’s mensen observeren.

Lucratieve handel

Wat De Man in het klein doet, doet accountants- en advieskantoor EY in het groot. Het bedrijf verhuurt onder meer drie experts aan een beursgenoteerde multinational met een omzet van 600 miljoen. Prijskaartje: 100 duizend euro. Het is een van de circa vijftien AVG-projecten van EY. Wie minder te besteden heeft, kan voor 20 duizend euro een ‘nulmeting’ kopen. ‘Op dit moment zijn we helemaal vol. Zo’n twintig man is fulltime bezig’, zegt dataprivacy-adviseur Birgit Stein.

Wie bereid is te betalen, krijgt een geheel verzorgde behandeling. EY levert projectmanagers, advocaten en cyberexperts. Het is voor sommige bedrijven nog niet genoeg. ‘De sector trekt ook aan onze mensen’, zegt Stein. De functie van dataofficier is zo lucratief dat sommige medewerkers van EY overstappen naar het bedrijf dat hen tijdelijk inhuurde. ‘Iedereen kan flink verdienen door ergens privacy-officer te worden.’

Uit eigen onderzoek wist EY vorig jaar al dat er werk aan de winkel was. In het najaar deed het advieskantoor wereldwijd een peiling: 60 procent van de bedrijven in EU-landen zei ‘een plan’ te hebben voor de AVG. Hoe kan het dat veel ondernemers tegen de deadline aan de zaken nog niet op orde hebben? Veel Nederlandse bedrijven verwijzen naar de minimale informatievoorziening van de Autoriteit Persoonsgegevens. EY-adviseur Stein: ‘Onze toezichthouder is nog niet erg actief geweest.’ Stein draagt verzachtende omstandigheden aan: ze vindt het begrijpelijk dat ook de toezichthouder worstelt met wetgeving die in de praktijk nog moet uitkristalliseren.

De Europese wet kent veel open eindjes. De AVG schrijft bijvoorbeeld geen concrete bewaartermijnen voor: bedrijven mogen persoonsgegevens niet langer bewaren ‘dan noodzakelijk’. Wat ‘noodzakelijk’ betekent, zal moeten blijken. Als het Kaasmeisje klantgegevens langere tijd bewaart, moet ze kunnen onderbouwen waarom ze dat doet.

In het diepe

Winkelier Vlooswijk heeft genoeg gedaan, vindt ze. Al weet ze het niet zeker. Mocht de AP haar pijlen op de kaaswinkels richten, dan kan ze goed gedocumenteerd laten zien dat ze haar best heeft gedaan. Ook zij klaagt over de gebrekkige voorlichting. ‘Mensen worden in het diepe gegooid.’ Een simpele, overzichtelijke checklist was nergens te vinden. De instructieve YouTube-vlogs van jurist Charlotte Meindersma boden haar nog de meeste houvast.

Ook ondernemersclub MKB Nederland wordt overspoeld met vragen, zegt een woordvoerder, en moet dan vaak het antwoord verschuldigd blijven. De regering zou ‘een paar ton’ moeten uittrekken om samen met brancheverenigingen op maat gesneden voorlichting te maken, vindt de organisatie.

Koninklijke Metaalunie, belangenbehartiger van metaalbedrijven, besloot zelf een tool te ontwikkelen voor haar leden. Vijf mensen werkten er een half jaar aan. Het resultaat: via de website kan een ondernemer zijn metaalbedrijf binnen een paar uur ‘compliant’ maken. Een waardevol instrument, beseft Fred Schoenmakers, bedrijfsjurist van Metaalunie. Vandaar dat de tool achter digitale slot en grendel zit, alleen toegankelijk voor leden.

Als de kluwen van wetgeving eenmaal is ontward, valt de opgave voor het gemiddelde metaalbedrijf wel mee, legt Schoenmakers uit. Een metaalbedrijf heeft te maken met gegevens van leveranciers en klanten, van personeel en van wat ‘overige zakelijke contacten’. Dat leidt tot vier verplichtingen: ‘Je moet je verwerkingen (alle vormen van omgang met persoonsgegevens, red.) registreren, mensen daarover informeren, zorgen voor een passende beveiliging en documenteren wat je hebt gedaan.’

Kop van jut

Maar ook Metaalunie heeft niet op alles een antwoord. Wat te doen met uitwisseling van personeelsgegevens tussen bedrijven? Een onderaannemer geeft door aan de hoofdaannemer wie aan het werk gaat op de bouwplaats. Cruciaal voor de bouw, maar van de AVG mag het niet. Schoenmakers: ‘De AP biedt geen alternatief. Dat is jammer.’

De Autoriteit Persoonsgegevens is veelal de kop van jut. Niet geheel terecht, zo klinkt door in een schriftelijke reactie. De toezichthouder biedt een online ‘regelhulp’, een ‘tienstappenplan’, een brochure genaamd ‘AVG in een notendop’. Bellen kan ook: ‘De telefoon staat al weken roodgloeiend.’ Maar bedrijven zijn in de eerste plaats zelf verantwoordelijk om zich te informeren. ‘Iedereen heeft ruim de tijd gehad om zich voor te bereiden.’

De nieuwe privacywet is werk in uitvoering – vanaf vrijdag moet de tekst stollen in de praktijk – maar wat de AVG nu al heeft bereikt: een enorm toegenomen bewustzijn bij bedrijven over de gevoeligheid van persoonsgegevens. En dat is ondanks de hoofdpijn veel waard, vindt winkelier Vlooswijk. ‘Iedereen gooit klakkeloos alles op internet. Is het nodig? Ik vind van niet.’ Het Kaasmeisje betracht de grootste zorgvuldigheid. Een stukje kaas kopen was nog nooit met zoveel waarborgen omgeven.