Het midden- en kleinbedrijf en zzp-ers hoeven niet te rekenen op een uitzonderingspositie of zelfs maar een lichter regime bij de handhaving van de nieuwe Europese privacywet GDPR, die 25 mei van kracht wordt. Dit meldt het FD.

Omdat naleving van de General Data Protection Regulation en de Nederlandse variant, de Algemene Verordening Gegevensbescherming, nogal wat administratieve lasten en dus kosten met zich meebrengt, hadden ondernemers om vrijstelling gevraagd voor enkele van de verplichtingen. De Autoriteit Persoonsgegevens, die in Nederland handhaaft op de nieuwe wet, wil hier echter niet in meegaan. Het gaat onder andere om het creëren van een mogelijkheid dat burgers altijd kunnen nagaan welke gegevens van hen worden bewaard en wat daarmee gedaan wordt. De verwerker van de gegevens dient aan te tonen dat hij de gegevens alleen verzameld, bewaard en verwerkt voor het met de burgers afgesproken doel. De verwerker dient de gegevens goed te beveiligen en te vernietigen als zij niet langer nodig zijn.

Hoge kosten
Secretaris ICT David de Nood van MKB-Nederland schat dat de wet het hele Nederlandse bedrijfsleven tot 1,4 miljard euro extra per jaar gaat kosten aan nalevingsuitgaven. Alleen al het registeren van welke persoonsgegevens ze hebben, wat ze ermee doen, wanneer ze worden weggegooid en hoe ze zijn beveiligd gaat zo’n 500 miljoen euro per jaar kosten, aldus berekeningen van SIRA Consulting. Mede daarom kwam er een vrijstellingsclausule in de wet voor bedrijven met minder dan 250 werknemers. Die hoeven niet aan de registerplicht te voldoen, tenzij ze potentieel gevoelige informatie verwerken. Beveiligingsbedrijven zouden om die reden al niet voor vrijstelling in aanmerking komen. Maar volgens MKB Nederland komt in principe geen enkel bedrijf in aanmerking voor de vrijstelling. Het bijhouden van een klantenbestand of personeelsadministratie verplicht al tot het bijhouden van het register, zelfs als het om een eenmansbedrijf gaat.

Kosten en baten
Public policy manager Ivo Poulissen van brancheorganisatie Nederland ICT zegt tegen het FD dat zijn branche niet inziet dat zo’n register leidt tot meer bescherming van persoonsgegevens. De sector is wel heel blij met andere delen van de wet die aanzetten tot het nadenken over beveiliging. Want dat is volgens Poulissen cruciaal in de digitale economie. Maar De Nood van MKB Nederland denkt  dat voor mkb’ers de privacybaten niet opwegen tegen de kosten. Hij verwacht ook niet dat de Autoriteit Persoonsgegevens regelmatig gaat controleren bij individuele mkb-bedrijven. De AP heeft maar 120 medewerkers en Nederland telt ruim een miljoen zzp’ers en ruim 195.000 kleine bedrijven met twee tot tien werknemers. Wel kan onderzoek plaatsvinden naar aanleiding van klachten. Bij overtreding van de GDPR of AVG kunnen boetes worden opgelegd tot 20 miljoen euro of 4 procent van de wereldwijde omzet bij grote datalekken of het verwerken van informatie zonder toestemming.