ZBC Kennisbank

Ons bedrijf verwerkt nauwelijks persoonsgegevens en dus geldt de AVG niet voor ons

 

Er zijn heel wat bedrijven die nauwelijks persoonsgegevens verwerken. Natuurlijk zijn er altijd de personeelsdossiers en vaak is er ook een website waar je persoonsgegevens kunt achterlaten, maar daarmee heb je het dan wel gehad. Dergelijke bedrijven zijn niet verplicht om een functionaris gegevensbescherming (FG) aan te stellen. De verleiding is dan groot om de AVG maar te negeren.

Bijna dagelijks lees je, welke inbreuken er gemaakt worden op onze privacy en met name door de overheid, die toch eigenlijk het goede voorbeeld zou moeten geven. En dus is waarschijnlijk niemand geïnteresseerd, als persoonsgegevens die u als bedrijf hebt, op straat komen te liggen. Waarschijnlijk neemt zelfs niemand de moeite om ze op te rapen. En ook de Autoriteit Persoonsgegevens heeft wel wat beters te doen dan zich hiermee bezig te houden. Privacy is een hype, die waarschijnlijk wel weer overwaait.

Dat u gevoelige persoonsgegevens hebt, is toch niet uw schuld?

Bovendien is het niet eens uw eigen idee om allerlei bijzondere persoonsgegevens te bewaren. Het is de wetgever, die u verplicht een kopie van het identiteitsbewijs van uw medewerkers te hebben. Het is de wetgever, die heeft verzonnen dat u een nauwkeurig dossier moet bijhouden over het functioneren van medewerkers, want als u dat niet doet, is het onmogelijk een medewerker te ontslaan, als dat om wat voor reden dan ook nodig is. Het is de wetgever, die heeft verzonnen dat het KvK-nummer van een zzp’er hetzelfde is dan zijn burger servicenummer (BSN), waardoor een gegeven van een rechtspersoon ineens ook een bijzonder persoonsgegeven wordt. Het is de wetgever, die verzonnen heeft dat e-mail wettig bewijsmateriaal is bij geschillen, zodat u verplicht bent om bergen e-mails te bewaren, die sowieso ook persoonsgegevens bevatten.
Kortom, het is de wetgever die u heeft opgescheept met de verplichting allerlei gegevens te bewaren. En u bent het die moet investeren in de beveiliging van al die gegevens, die wat u betreft ook verwijderd kunnen worden. En u bent het ook die de boete krijgt, als u hierbij een steekje laat vallen.

Het draait niet om privacy maar om reputatieschade

Wanneer u dit niet redelijk vindt, dan heeft u eigenlijk volledig gelijk. Maar u bent nu eenmaal niet alleen op de wereld. Wellicht heeft u klanten die privacy wel belangrijk moeten vinden, meestal vanwege het risico dat zij lopen op reputatieschade. Denk hierbij aan overheden, zorginstellingen en grote bedrijven. Als die fouten maken, worden ze vaak onmiddellijk aan de schandpaal genageld, is het niet door de TV of de pers, dan is het tegenwoordig wel door de social media middels een hetze. En dergelijke organisaties willen zich indekken.
De AVG schrijft ook voor, dat je alleen persoonsgegevens mag delen met bedrijven die aantoonbaar voldoen aan de AVG. Als u dan niet, en een groot aantal van uw concullega’s wel, de moeite heeft genomen te voldoen aan de AVG, loopt u het risico, dat u dergelijke klanten niet meer binnenhaalt of misschien zelfs bestaande klanten verspeelt. Kortom, ook al is de AVG voor u eigenlijk nauwelijks van toepassing, dan is het verlies van klanten vanwege het risico dat ze lopen op reputatieschade toch een reden om iemand aan boord te hebben, die weet hoe ook u zich op pragmatische wijze kunt indekken tegen dit risico.

Pragmatisch indekken tegen de AVG

Uitgangspunt is dat u artikel 1 van de AVG kent. Hierin staat: “Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.” Ofwel in normaal Nederlands: privacy is geen reden om verwerking van persoonsgegevens te belemmeren, tenzij betrokkenen er nadeel door ondervinden.
Wanneer u altijd al redelijk netjes bent omgegaan met persoonsgegevens, voldoet u in feite ook nu al aan de AVG. Het enige probleem is veelal, dat u dit niet kunt aantonen. Toch is dat aantonen niet zo moeilijk. Zolang u maar uitgaat van uw bedrijf. Pas als u checklists gaat gebruiken, die u bijvoorbeeld van internet geplukt hebt, brengt u zichzelf in de problemen. Die checklists gaan er namelijk allemaal van uit, dat u wel allerlei persoonsgegevens verwerkt en dus maatregelen moet gaan treffen op risico’s die voor u niet relevant zijn. Dus anders gezegd, bepaal eerst zelf de risico’s. Daarbij maakt u een afweging tussen de risico’s voor de betrokkenen en uw eigen risico. Uw eigen risico zit natuurlijk in het treffen van maatregelen die geld kosten in de naleving. Door deze benadering worden veel maatregelen uit de AVG overbodig, omdat ze gedefinieerd zijn op risico’s die u niet loopt. Uiteraard baseert u de keuzes die u hierin maakt op uw beleidsuitgangspunten en legt u alles netjes vast. U heeft vervolgens de keus uit diverse maatregelen om de weinige risico’s die overblijven te reduceren. Het belangrijkste verschil tussen deze maatregelen zit weer in de kosten, waarbij u uiteraard kiest voor de maatregelen met de laagste kosten. Vaak kost het tijd deze maatregelen in te voeren. U stelt daarom een verbeterplan op, zodat u niet onder tijdsdruk komt te staan. Ook dit legt u weer netjes vast. Resteert dan nog, dat u een procedure moet hebben voor het omgaan met incidenten en voor het omgaan met veranderingen. En dan bent u tegen acceptabele kosten in feite klaar voor de AVG. En wat het belangrijkste is, u bent klaar voor klanten die zichzelf willen indekken tegen reputatieschade.

Wat ZBC voor u kan doen

Als uzelf de kennis in huis wilt hebben, dan biedt ZBC de tweedaagse ‘Cursus Privacy Officer in de praktijk’. Hier leert u hoe u de AVG kunt interpreteren en op pragmatische manier kunt toepassen, met uiteraard de tips en trucs waarmee u het geleerde kunt toespitsen op uw bedrijf. Kosten van deze cursus zijn € 1195.
Als u vindt, dat dit niet behoort tot uw core-business, kunnen wij ook langs komen om deze exercitie uit te voeren. De beschrijving hiervan vindt u in ‘Je privacy in twee maanden AVG compliant’. Als u inderdaad weinig persoonsgegevens verwerkt, dan kost u dit ongeveer € 4000. En vervolgens zijn we op afroep beschikbaar, steeds als u ons nodig hebt.
Afwachten tot u de eerste klant verspeelt, kost u waarschijnlijk veel meer. 

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 4 januari 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *