1 jaar later: waarom de AVG ondernemers tot wanhoop drijft

Precies een jaar geleden trad de nieuwe privacywet AVG in werking. Tijd om de balans op te maken. Waar lopen ondernemers tegenaan? Wat gaat goed, wat veroorzaakt grijze haren? De 7 grootste knelpunten op een rij.

 

#1 Waar vind je de juiste informatie? 

Bedankt, YouTube. Bianca Vlooswijk, eigenaar van 't Kaasmeisje in Montfoort en Oudewater, heeft vele, vele vlogs bekeken om informatie te vinden over de nieuwe privacywet en hoe je daaraan moet voldoen. 'Er was weinig voorlichting. Ik moest het allemaal zelf uitzoeken. Ik klopte aan bij MKB-Nederland, het Vakcentrum, zocht informatie op de site van de Autoriteit Persoonsgegevens (AP) en: op YouTube.' Daar vond de ondernemer uitleg van juristen die gespecialiseerd zijn in de nieuwe privacywet AVG. Zelf een externe adviseur inhuren? 'Daar heb ik helemaal geen geld voor jôh.' Vlooswijk stelde dus zelf een privacyverklaring op voor haar website, zorgde met haar websitebouwer voor een cookieverklaring, en wanneer ze op haar Facebookpagina een foto plaatst van een klant, vraagt ze toestemming. Vlooswijk schat dat ze in totaal 80 uur heeft besteed aan het AVG-proof maken van haar kaaswinkels. 'Naast het runnen van een bedrijf. En dan heb ik nog twee kinderen en een echtgenoot.'

 

'de avg is een moeras waarin de ondernemer verdwijnt'

 

Dat de vraag 'AVG, waar moet je aan voldoen?' niet alleen speelt bij de kleinste ondernemers, blijkt uit de dagelijkse telefoontjes die de Koninlijke Metaalunie krijgt. 'De AVG is een moeras waar de ondernemer in verdwijnt', zegt Fred Schoenmakers, bedrijfsjurist bij de ondernemingsorganisatie. 'Ik krijg, nog steeds, inhoudelijke vragen over de wet, vragen over wat bepaalde begrippen betekenen en hoe de wet zich verhoudt tot de praktijk.' Maar daarover straks meer. Volgens Schoenmakers heeft de AP zich in elk geval niet goed gekweten van haar informatieve taak.

Metaalunie ontwikkelde een tool om hun leden te helpen AVG-proof te worden, met checklists en voorbeelddocumenten voor onder meer de klant- en leveranciersadministratie, personeels- en loonadministratie en overige zakelijke contacten. Ook brancheorganisatie FME helpt haar leden met een AVG-factsheet. Nog meer handige websites en tools vind je hier.

#2 Hoe lang mag je gegevens bewaren?

De AVG telt 99 artikelen met juridische teksten. Pittige kost, zegt Matthias de Bruyne, legal counsel bij brancheorganisatie DDMA. Hierbij zijn ruim 300 organisaties en bedrijven aangesloten die data inzetten voor marketingdoeleinden. 'Zijn' achterban worstelt voornamelijk met de open normen in de wet: bepalingen die niet eenduidig zijn. De Bruyne: 'Gegevens mogen bewaard worden indien dat 'proportioneel' en 'noodzakelijk' is 'voor het doel waarvoor de consument zijn gegevens heeft verstrekt'. Ondernemers vinden het moeilijk om die afweging te maken. Het is gewoon fijn om te weten of iets nou wel of niet mag.' Dagelijks wordt aan De Bruyne de vraag gesteld: hoe lang mag je gegevens bewaren? 'Maar wij kunnen voor onze leden geen beslissing nemen.'

 

'Bewaren van gegevens: het is gewoon fijn om te weten of iets mag of niet'

 

Zijn advies is om intern het gesprek te blijven voeren over privacy: hoe lang zijn gegevens écht noodzakelijk? 'Wees ook transparant richting de consument over de manier waarop je organisatie de bewaartermijn vaststelt.' Die open normen waren er bij de voorloper van de AVG ook al [zie kader hierna]. 'Maar nu zitten er meer risico's aan vast, en er is een kans dat de AP je een boete oplegt als je niet goed uitlegt waarom je iets doet. Daarom mag de AP daarin ook wel meer richtlijnen bieden', aldus De Bruyne. 

DDMA lanceerde de Privacy Improver, een online tool die marketeers helpt privacybewuste marketingcampagnes te ontwikkelen. De tool richt zich vooral op organisaties zonder een eigen juridische afdeling, zoals mkb'ers en bureaus die campagnes in opdracht van grote adverteerders uitvoeren.

#3 Mag ik gegevens delen met mijn opdrachtgever?

Stel, je bent onderaannemer in een groot bouwproject. Jouw opdrachtgever, de aannemer, vraagt je vooraf de gegevens van je medewerkers door te geven. Deze heeft hij nodig om te voorkomen dat hij op grond van de Wet ketenaansprakelijkheid, aansprakelijk kan worden gesteld voor de loonheffingen en omzetbelasting als de onderaannemer deze niet betaalt. 'In de praktijk zorgt dit voor onmogelijke situaties', vertelt Schoenmakers (Metaalunie). 'Het Burger Service Nummer (BSN) mag je als onderaannemer van tevoren aan de aannemer verstrekken. Maar gegevens die ook vereist zijn, zoals naam-, adres- en woonplaatsgegevens of geboortedatum, daarvan zegt de AVG: mag niet. Uiterst curieus, toch?'

 

'moeten bouwers nou voldoen aan de AVG of aan andere relevante wetten? daar heeft niemand het antwoord op'

 

Die gegevens moeten ter plaatse bij de werknemer worden opgevraagd. 'Zie je het voor je? Een drukke bouwplaats, waar de aannemer op de dag van bouwen de gegevens moet controleren en vastleggen van alle arbeidskrachten die komen werken?' Ondernemers in de bouw krijgen te maken met tegenstrijdige wetten, dát is het grootste knelpunt, vindt Schoenmakers. 'Moeten ze nou voldoen aan de AVG of aan andere relevante wetten? Daar heeft niemand een antwoord op – ook de Autoriteit Persoonsgegevens niet.' Volgens Metaalunie kan deze spagaat op sommige punten makkelijk worden verholpen. ‘Voeg bijvoorbeeld de verplichting om persoonsgegevens van werknemers door te geven aan de aannemer toe aan de wettelijke verplichting om het BSN door te geven.' Probleem opgelost. 'Daar lobbyen we nu dan ook hard voor', aldus Schoenmakers.  

Hoe zat het ook alweer?Op 25 mei 2018 is de Europese General Data Protection Regulation (GDPR) in werking getreden. In Nederland is die uitgewerkt in de Wet Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (AVG). Die twee vervangen weer de Wet bescherming persoonsgegevens (Wbp). Waarom de AVG is ingevoerd? De nieuwe wet sluit aan op het digitale tijdperk waarin we leven. 'Burgers moeten zich vrij voelen en onbevangen zichzelf kunnen zijn', zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens. 'Het zijn hun data waar ze dus ook zelf over moeten kunnen beschikken.'

#4 Wat is belangrijker, veiligheid of privacy?

Transportondernemers bevinden zich in een andere lastige spagaat, namelijk: waar ligt de grens tussen veiligheid en de privacy van medewerkers? Voor Hélène Minderman, security professional bij Transport en Logistiek Nederland staat het buiten kijf dat bijvoorbeeld steekproefsgewijze controles op de werkvloer op alcohol en drugs in 'haar' branche noodzakelijk zijn.

 

'als een chauffeur onder invloed rijdt, kan er van alles misgaan. en jíj bent verantwoordelijk'

 

'Als een chauffeur onder invloed een voertuig bestuurt, kan er van alles misgaan. Een ongeluk met materiële schade, letsel, of erger: een dodelijke afloop. Dan ben je als werkgever verantwoordelijk. Bovendien is het voertuig niet verzekerd als er alcohol in het spel is. Mensen denken vaak dat je het meteen merkt als iemand onder invloed op het werk verschijnt, en diegene dan daar dan op kunt aanspreken. Maar het probleem is juist dat je het níet altijd merkt of kunt meten. Stel dat een chauffeur om 4:00 uur 's nachts nog alcohol heeft gedronken, en hij moet om 6:00 uur werken. Dan zit het nog steeds in zijn bloed. Vaak merkt diegene het niet eens, of doet hij het niet met opzet. Daarom moeten transportondernemers aan de voorkant drugs- en alcoholtesten kunnen doen, ten behoeve van de algemene veiligheid.' TLN stuurde in april een dringende brief daartoe aan de staatssecretaris van Sociale Zaken en Werkgelegenheid.

VNO-NCW en MKB-Nederland willen dat er óók een wettelijke grondslag komt voor onder meer de chemische en de maakindustrie om preventieve alcohol- en drugscontroles te kunnen uitvoeren. Veiligheid moet in bepaalde gevallen echt zwaarder wegen dan privacy, is hun boodschap.

#5 Hoe kan ik mijn zieke werknemer helpen als ik niks mag vragen?

'De afgelopen jaren zijn veel verantwoordelijkheden rondom personeelsverzuim doorgeschoven naar de werkgever en dat begrijp ik best', zegt Joep Ebben in het pamflet 'Een knellend probleem'. Hij is eigenaar van Intratuin in Malden, Nuenen en Elst. 'Maar de mogelijkheden die je daarbij hebt om interventie te plegen, worden met de nieuwe privacyregels wel erg beperkt. Daar is de werkgever niet bij gebaat, maar de werknemer ook niet.' Zo mogen werkgevers in de eerste zes weken van ziekte niet aan de werknemer vragen wat hij nog allemaal kan. Alleen de bedrijfsarts mag dit soort vragen stellen, aldus de AP. Het hele re-integratieproces wordt zo onnodig verlengd, aldus Ebben.

 

wat kan je nog wel mag een werkgever zijn zieke werknemer niet meer vragen

 

Petra van de Goorbergh is het met hem eens. Zij is directeur van OVAL, de organisatie van re-integratiebedrijven en arbodiensten. 'Bovendien wordt het zo voor werkgevers lastiger om mensen met een arbeidsbeperking te begeleiden naar werk.' De AP kan op grond van de AVG boetes opleggen als ondernemers in de fout gaan. Van de Goorbergh: 'Op dit soort punten moet voor eens en altijd duidelijkheid komen. Het ministerie van Sociale Zaken en Werkgelegenheid is daarbij aan zet.'

 

#6 Waarom mag ik geen fraudegegevens inzien?

Ook in de transportsector krijgen ondernemers jammer genoeg vaak te maken met fraude, aldus Minderman (TLN). 'Je staat als bedrijf ingeschreven op een vrachtuitwisselingsplatform, iemand doet zich voor als vervoerder en vervolgens zie je je lading nooit meer terug. Of een 'bekende' afnemer bestelt goederen bij jou, maar bij nader inzien komen die bestellingen van een malafide bedrijf dat bíjna dezelfde website heeft als het bekende bedrijf, alleen de site eindigt op .eu in plaats van .com.' Ondernemers lijden daardoor niet alleen materiële schade, ze worden ook persoonlijk geraakt.

 

'bij fraude wil je elkaar toch ook bedrijfslevenbreed waarschuwen?' dat mag dus niet

 

TLN wil heel graag een frauderegister, een database met gegevens van mensen of bedrijven die fraude hebben gepleegd. 'Zo kun je elkaar bedrijfslevenbreed waarschuwen. En je kunt de politie helpen de zaak sneller op te pakken. Fraude stopt niet aan de grens van een sector', aldus Minderman. 'Dat maakt een frauderegister onmisbaar.' En nee, een fraudeur staat niet voor altijd in zo'n database. Ze wijst naar het Britse frauderegister Cifas, waar iemand die niet in herhaling valt na 6 jaar automatisch uit het bestand verdwijnt. 'Er zijn strenge regels en protocollen nodig om malafide partijen aan te pakken', aldus Minderman, 'en dat kan het beste via een register.' 

AP start voorlichtingscampagneOp 24 mei is de Autoriteit Persoonsgegevens (AP) met een voorlichtingscampagne voor het mkb gestart: 'Wat betekent de privacywet voor jouw organisatie'? Kijk op de campagnewebsite www.hulpbijprivacy.nl.

# 7 Wie is eigenlijk verantwoordelijk voor de AVG?

De conclusie die Schoenmakers (Metaalunie) trekt na het horen van wat er allemaal in 'zijn' branche speelt: 'Niemand voelt zich eindverantwoordelijk voor de naleving van de AVG. De AP - als toezichthouder op de wet - betrokken ministeries, niemand zegt: dit zijn de knelpunten, dus dit gaan we regelen. Weet je wat mooi zou zijn? Iemand die verantwoordelijk is voor álle facetten van privacy. Privacy speelt per slot van rekening in de hele samenleving, het is niet alleen een ding bij bedrijven. Kijk maar naar een recente spraakmakende moord - ook daar speelde het knelpunt tussen privacy van de verdachte en veiligheid een rol. Dus een privacyminister overdreven? Niet op voorhand.'

 

'niemand voelt zich verantwoordelijk voor de AVG. dus de knelpunten oplossen: wie gaat dat regelen?'

 

Vlooswijk ('t Kaasmeisje): 'Ik heb alles naar eer en geweten gedaan om aan de nieuwe wet te voldoen. Helaas is er niemand die me controleert en zegt: Je hebt het goed gedaan, nu ben je AVG-proof.' Toch is het heus niet alleen kommer en kwel wat betreft de AVG. 'Ik moest me echt vastbijten in het onderwerp', zegt Vlooswijk. 'Mijn hersens laten kraken. Heerlijk. En mijn bedrijfsvoering is nu een stuk professioneler.'

Hoe maak je collega's privacy-aware?Vooral grote organisaties hebben een fulltime privacy officer in dienst. Bij veel mkb-bedrijven en non-profit organisaties wordt 'de AVG' ondergebracht bij een medewerker die zich naast privacy ook bezighoudt met niet-juridische zaken. Zo ook bij Amnesty International, waar Chantal Goor naast planning, monitoring & evaluatie officer ook privacy officer is. 'AVG-proof worden gaat niet om een checklist afvinken. Zo van: 'we zijn nu klaar en we gaan weer verder met de orde van de dag.' Het is een doorgaand proces dat geborgd moet worden binnen alle bestaande processen en werkwijzen. Je moet binnen je organisatie een privacybewustzijn creëren', aldus Goor. Dus volgden alle medewerkers een e-learning en werden er lunchmeetings over privacy en security georganiseerd. Goor: 'Bewustwording heeft tijd nodig en de kracht zit in de herhaling.'

 Op de hoogte blijven van onze leukste artikelen? Schrijf je dan gratis in voor onze nieuwsbrief.