Geen uitzondering voor MKB bij handhaving AVG

De Autoriteit Persoonsgegevens (AP) geeft het MKB geen uitzonderingspositie bij het naleven van de AVG. Ook het MKB is ‘gewoon’ verplicht bij te houden wat er gebeurt met klant- en persoonsgegevens. Per 25 mei is de nieuwe regelgeving van toepassing en zullen alle organisaties hieraan moeten voldoen.

Bron: Financieele Dagblad

Vrijstellingsclausule

Eerder pleitte de UEAPME, de Europese MKB koepelorganisatie, voor een lichter regime in de handhaving van de nieuwe privacywet. De Artikel 29 Werkgroep, die de landelijke toezichthouders op privacygebied vertegenwoordigt, heeft in reactie daarop laten weten dat er wel een vrijstellingsclausule is. Echter de voorwaarden hiervoor blijken dusdanig strikt, dat in de praktijk vrijwel geen enkele organisatie er voor in aanmerking komt.

Registerplicht

Geschat wordt dat het Nederlandse bedrijfsleven circa 1,4 miljard euro per jaar kwijt zal zijn aan het naleven van de nieuwe privacyregels. Alleen al de registerplicht gaat jaarlijks leiden tot 500 miljoen euro aan kosten volgens secretaris ICT David de Nood van MKB Nederland. Deze plicht houdt in dat elke organisatie moet bijhouden welke persoonsgegevens ze hebben, wat ze ermee doen, hoe ze zijn beveiligd en wanneer ze worden weggegooid.

Elke vorm van ‘niet-incidentele’ opslag valt al onder de registerplicht. De Nood stelt dan ook dat de uitzonderingen op geen enkele organisatie van toepassing zijn, omdat iedere organisatie wel structureel een klantenbestand of salarisadministratie bijhoudt.

Capaciteit

Een probleem voor veel organisaties is dat ze niet de capaciteit hebben om dit zelf bij te houden. Ook is de informatie over de wet complex en juridisch pittig, waardoor MKB organisaties mogelijk hulp moeten inroepen, maar niet altijd beschikken over de middelen om extern hulp in te roepen.

Geen uitzondering

De AP is echter onverbiddelijk, aldus het FD. De AP noemt het beschermen van privacy en persoonlijke informatie een 'grondrecht' en 'essentieel'. De toezichthouder gaat strikt handhaven en geen uitzonderingsposities hanteren bij het naleven van de AVG.

Bovendien hebben bedrijven twee jaar de tijd gehad om zich voor te bereiden op de AVG. Vanaf 25 mei zullen organisaties zich aan de nieuwe regels moeten houden en mogen persoonsgegevens alleen nog worden voor een specifiek, vooraf vastgesteld doel.

Wel benadrukt de toezichthouder tot slot nog wel dat het een groter budget nodig heeft om effectief te kunnen handhaven.

 

Bezoekers van deze pagina bekeken ook:

Terug naar overzicht

Blijf op de hoogte!

Meld u aan voor onze maandelijkse business update.