De Algemene Verordening Gegevensbescherming: we raken er maar niet over uitgepraat. Deze wet is ondertussen alweer bijna een jaar in werking en er is al veel – heel veel – over gezegd. Gelukkig is er ook al veel gedáán. Gaat dit al helemaal goed? Nee. Maar zijn er ondertussen al heel wat organisaties op weg naar het voldoen aan de AVG? Ik denk van wel, al zullen hier de meningen wellicht over verschillen. Er is in ieder geval een behoorlijke ontwikkeling gaande. Wie achter lijken te blijven in deze ontwikkeling zijn de kleine ondernemers: zelfstandigen die alleen werken of in een los netwerk samenwerken, of kleine organisaties met slechts een aantal medewerkers in dienst.

De omvang van een onderneming zegt lang niet altijd iets over hoeveel persoonsgegevens er verzameld worden en hoe gevoelig deze zijn. Denk bijvoorbeeld aan zelfstandige psychologen, coaches, fysiotherapeuten, financieel adviseurs en makelaars. Met een makelaar wordt naast de meer standaard persoonsgegevens zoals naam en adres ook financiële informatie gedeeld. Meestal wordt er ook gevraagd om een kopie identiteitsbewijs. En wanneer iemand de hulp van een psycholoog nodig heeft, is de kans aannemelijk dat diegene ook informatie geeft over zijn of haar medische gegevens. Dit hoeft overigens niet eens pas in het traject zelf te gebeuren; het contactformulier op een website is bij uitstek de plek waar mensen alvast wat (gevoelige) persoonsgegevens over hun medische achtergrond delen. Het is dus zeker niet zo dat er voor kleine ondernemers een reden is om de AVG te verwaarlozen. In tegendeel. Ook voor hen is het belangrijk – en verplicht! – zorgvuldig met de persoonsgegevens van klanten om te gaan en dit vervolgens ook naar klanten te communiceren.

Het niveau van kennis over de AVG blijkt bij kleine ondernemers echter vaak schokkend laag te zijn. Onjuistheden zoals een overgangsperiode van twee jaar na mei 2018 blijven hardnekkig de ronde doen. Echt verwonderlijk vind ik dat niet, het ís namelijk ook best ingewikkeld. Natuurlijk is er een schat aan informatie te vinden op het internet. Maar als je eigenlijk al niet goed weet wat persoonsgegevens precies zijn en wat je daarmee doet, is het een opgave van formaat het overzicht in al die informatie te vinden. En dan staat het internet ook nog eens bol van de AVG-mythes. Veel vaker dan grotere organisaties zijn kleine ondernemers voornamelijk op zichzelf aangewezen; van een budget voor dure consultants of juridisch adviseurs is meestal geen sprake. Daarnaast wordt regelmatig aangegeven dat het voldoen aan de AVG weinig prioriteit heeft. Het is lastig, het kost veel tijd en ondernemers begrijpen niet altijd voldoende waarom wat ze altijd al deden nu opeens anders zou moeten. Al deze factoren kunnen het voldoen aan de AVG soms een ingewikkelde zaak maken.

Wellicht denk je nu: maar er zijn toch tools in alle soorten en maten beschikbaar om hiermee te helpen? Dat klopt, en dat is ook direct het verraderlijke. Deze tools spelen namelijk vaak in op het sentiment van ondernemers om het zo snel en makkelijk mogelijk af te willen tikken. Een quick fix. Jammer genoeg bestaat zoiets in het geval van de AVG niet (en eerlijk… wanneer eigenlijk wel?). Geen of onvoldoende kennis van de AVG enerzijds en te weinig inzicht in de eigen verzameling en verwerking van persoonsgegevens anderzijds maakt het nagenoeg onmogelijk om een dergelijke tool helemaal juist in te vullen. Helaas leiden deze tools dus meestal niet tot een betere kennis van de AVG, maar wel tot rommelige, incomplete en onjuiste privacy statements. Dit is een situatie die je eigenlijk liever niet wil; hoe groot of klein je onderneming ook is, als ondernemer ben je het aan je klanten verschuldigd zorg te dragen voor hun persoonsgegevens.

 

Stel je bent zo’n kleine ondernemer en je weet al een tijdje niet goed waar te beginnen. Dan zijn er drie adviezen die ik je zou willen geven:

  1. Probeer privacy niet als een verplichting te zien maar als onderdeel van je vak en de zorg voor je klant.
    Vaak lokt de AVG een soort reflex uit dat privacy een ver-van-mijn-bed-show is die het leven ineens onnodig ingewikkeld komt maken. Maar zet eens een andere pet op: op het moment dat jij zelf klant bent, wil je toch ook graag dat mensen zuinig zijn op jouw persoonsgegevens? Wanneer je persoonsgegevens verzamelt en verwerkt, is het onderdeel van je vak om daar verantwoord en volgens de wet mee om te gaan. Het helpt om het ook zo te zien.
  2. Zet voor jezelf eens op een rijtje welke persoonsgegevens je allemaal hebt, wat je daarmee doet en waarom je dat precies doet.
    Dit is al een hele goede eerste stap en misschien helpt het je ook beter te begrijpen waarom verantwoord met deze gegevens omgaan belangrijk is. Gedragsverandering is uiteindelijk ook, veel meer dan het kunnen uitdelen van boetes, het idee achter de wet. Daarnaast kan het ook nog eens een uitstekende kans zijn om weer eens na te denken over je eigen werkwijze en processen. Nogmaals: dit is geen haastig klusje, en dat hoeft ook helemaal niet. Je doet dit niet voor de Autoriteit Persoonsgegevens – want zo snel staan ze echt niet aan je deur – maar voor je klanten.
  3. Vraag om hulp.
    Als je niet dagelijks nadenkt over privacy en persoonsgegevens en alles wat daarmee te maken heeft, raak je al snel volledig verdwaald in dit onderwerp. Paniekvoetbal, zoals bijvoorbeeld simpelweg een privacy statement kopiëren, is dan geen goed idee. De kans dat je exact hetzelfde doet als een ander is echt verwaarloosbaar en de kans dat je daarmee aan de AVG gaat voldoen dus ook. Daarnaast verstrek je jouw klanten onjuiste informatie; hen bewijs je er dus ook bepaald geen dienst mee. Bespreek het onderwerp eens met je vakgenoten, misschien kun je elkaar vooruithelpen. En ook voor een klein budget zijn er experts die je graag willen helpen, zelfs al is het met het invullen van een AVG-tool die je bijvoorbeeld vanuit je branchevereniging gekregen of gekocht hebt.

De AVG: hoe belangrijk ook, eraan voldoen is niet altijd even simpel. Zeker niet als kleine ondernemer. Gelukkig is er met de juiste mindset en een beetje hulp veel mogelijk. En hopelijk zijn bovenstaande tips alvast een zetje in de goede richting!

 

Blog geschreven voor Cqure. Meer van Loes Derks van de Ven