Van Dijke (49) is eigenaar van Accountancy aan de Amstel, een kantoor met vijf medewerkers en ongeveer 250 klanten. De omzet schommelt rond de 4,5 ton. Het voldoen aan de Algemene Verordening Gegevensbescherming was noemt ze 'een hele exercitie'.
,,Ik moet bekennen dat ik er ook pas laat mee ben begonnen, hoewel natuurlijk al twee jaar bekend was dat het moest gebeuren. Maar ik merkte dat ook grote organisaties er pas kort voor de deadline mee begonnen waren.''
Lees ook: In 7 stappen klaar voor de AVG
Nauwkeurig in kaart brengen
Van Dijke moest onder meer in een verwerkingsregister vastleggen hoe ze om ging met de persoonsgegevens in de administraties van klanten. Hoe sloeg ze die gegevens op? Hoe lang? Wat gebeurde er met de gegevens als een arbeidsovereenkomst werd beëindigd? Hoe lang bewaarde ze de gegevens daarna nog? ,,Dat hoefde natuurlijk niet voor elke klant afzonderlijk, maar ik moest nauwkeurig in kaart brengen wat ons kantoor voor klanten doet, en waarom persoonsgegevens worden vastgelegd. En vervolgens met welke applicaties dat gebeurde, wáár, of we gegevensverwerkers of -verantwoordelijke waren, of er subverwerkers bij betrokken zijn, welke risico's we liepen en welke maatregelen we getroffen hadden. Daarnaast heb ik zorgplicht tegenover mijn klanten. Die moest ik ervan op de hoogte brengen dat zij zelf ook plichten hebben.''
Lees ook: Bescherming klantgegevens: dit moet je weten over de nieuwe verordening AVG
Frustratie
De hele exercitie heeft haar gelukkig geen klanten gekost, maar wel tijd. ,,Ik heb discussies gevoerd met klanten die het allemaal onzin vinden'', zegt ze. Van Dijke voelt zich vooral gefrustreerd vanwege het gegeven dat deze nieuwe Europese wetgeving vooral is ingegeven door het misbruik dat concerns als Facebook van persoonsgegevens maken. ,,Allang voor dat recente gedoe met Facebook was bekend dat zij niet goed met persoonlijke gegevens omgaan. Maar ík ben accountant, ik heb al een geheimhoudingsplicht, ik ging hier al zeer zorgvuldig mee om. Waarom zou ik dan nog van alles moeten doen om ook aan die nieuwe wet te voldoen?''
Zware procedure
Van Dijke noemt de te nemen maatregelen zwaar, met name voor relatief kleine bedrijven als het hare. ,,Ik hecht natuurlijk ook erg aan privacy, maar dit is een heel zware procedure. En ook de sancties zijn ingrijpend. Het is me tegengevallen dat je alles zelf moet uitvinden. Neem die terminologie van verwerker en verwerkingsverantwoordelijke. Als daar zelfs binnen mijn beroepsgroep door deskundigen over wordt gediscussieerd, hoe moet ík het dan doen?''
