Als de politiek in 2016 een Europese verordening aanneemt, heb je als bedrijf nog geen idee welke impact dat op je organisatie zal hebben. Je denkt dan misschien nog: ‘veel te veel regels, niet voor mij bestemd, ik zal wel zien’.

Door Ellen den Broeder

Wellicht zijn de grote bedrijven in staat om de GDPR, wij noemen het Algemene Verordening Gegevensbescherming, makkelijk te organiseren, maar wat mij betreft is het mkb weer een bureaucratische rompslomp rijker, dat moet mij toch even van het hart.

Wij hebben allemaal bescherming nodig, omdat de IT-tech-reuzen ons internetgedrag aan onze persoonsgegevens koppelen, die verzamelen en zelfs verkopen. Feitelijk niet anders dan het kopen van bedrijfsgegevens bij bijvoorbeeld de Kamer van Koophandel. Daar kocht ik vroeger een bestand voor een paar tientjes en dan schreef ik die bedrijven rechtstreeks aan. Ik kan me niet herinneren dat de KvK ooit aanleiding was voor een internationale wet. Het verschil met toen en nu; toen ging op het op papier, nu gaat het digitaal.

Maar, we worden gedwongen ons erin te verdiepen en dan blijkt het toch verder te gaan dan dat die enkeling in 2016 dacht. Het is niet dat de wet geen effect kan hebben op je handel en wandel. De boetes die de Autoriteit Persoonsgegevens kan opleggen zijn megagroot. Er kunnen bij een overtreding voor grote bedrijven boetes worden opgelegd tot 4 procent van de internationale omzet met een maximum van 40 miljoen euro. Bij een maximale beboeting gaat elk bedrijf onderuit.

Bedrijven zijn blij dat we uit het dal zijn geklommen. Personen zijn blij dat er voldoende werk is. En precies nu moeten we GDPR-ren. Voor verenigingen en stichtingen, die veelal drijven op vrijwillige inzet van gepassioneerden, is het bijna niet te doen om aan de nieuwe wet te voldoen. Met bescheiden capaciteit moet dit megaproject worden voltooid en ik kan u uit ervaring zeggen, dat valt niet mee. Anderszins is het ook zonder wetgeving natuurlijk goed om je bedrijfsprocessen keurig in beeld te hebben. Niet alleen omdat het moet, maar omdat je als vereniging sowieso al zorgvuldig met de gegevens van je leden en belangstellenden om moet gaan.

Maar het moet gezegd, je wordt als kleine organisatie nog zorgvuldiger. Zo hadden wij, tot het van kracht worden van de nieuwe wet, een ledenlijst openbaar op onze website. Daar werd vaak gebruik van gemaakt, want leden konden collega-leden makkelijk vinden. Daar zijn we mee gestopt. Je zal de autoriteiten maar op bezoek krijgen die je vervolgens een boete opleggen omdat je persoonsgegevens deelt. Ik ben niet echt bang, maar voorbereid moet je wel zijn.

Ik vraag me serieus af of de wereld hier beter van wordt. En ik vraag me ook af wat er nu gaat gebeuren. Wacht de Autoriteit Persoonsgegevens tot er klachten komen van burgers voordat men zaken gaat checken bij ondernemers, scholen, verenigingen of stichtingen? Of gaat men min of meer preventief te werk en invallen doen bij bedrijven, waarvan ze weten dat er ook al overtredingen zijn geconstateerd met de hantering van de huidige wet bescherming persoonsgegevens? Ik ben benieuwd naar de eerste jurisprudentie hierover.

 

LAAT EEN REACTIE ACHTER

Geef hier je commentaar
Vul hier alsjeblieft je naam in