Klik hier voor de samenvatting
In het kort: maak je mkb AVG-klaar
De Algemene Verordening Gegevensbescherming (AVG) is al enkele jaren van kracht. De wet geldt voor alle bedrijven, ook voor het mkb. Wanneer je bedrijf minder dan 250 medewerkers heeft én geen persoonsgegevens verwerkt, is het echter mogelijk dat je niet met de AVG te maken krijgt.
Maar de kans hierop is erg klein. Daarom hebben we enkele tips voor het implementeren van de AVG in jouw mkb.
- Ga na of je met de AVG te maken hebt.
- Weet met welke gegevens je werkt.
- Maak een goede privacyverklaring.
- Documenteer de gegevens die je verzamelt en waarom.
- Bescherm je verzamelde gegevens.
- Update je AVG-documentatie regelmatig.
In dit artikel gaan we verder in op deze tips. Zo leggen we je uit wanneer je precies in een uitzonderingscategorie valt of hoe de AVG je bedrijf misschien wel kan helpen.
Je zou kunnen beweren dat het midden- en kleinbedrijf (mkb) zwaarder lijdt onder de Algemene Verordening Gegevensbescherming (AVG) dan grotere organisaties. Deze kleine en middelgrote ondernemingen hebben vaak geen specialist met verstand van de juridische en technische aspecten van de AVG in dienst. Het is goed mogelijk dat ze het budget niet hebben om een AVG-consultant in te huren. Bovendien is het onwaarschijnlijk dat mkb’ers zelf de tijd hebben om te verzekeren dat hun onderneming in overeenstemming met de AVG werkt.
Intussen is de AVG (of GDPR in het Engels, wat staat voor General Data Protection Regulation) al enkele jaren van kracht. Hierdoor zijn veel mkb-bedrijven in zwaar weer beland. Vanaf 25 mei 2018 moest ieder bedrijf al zijn zaken op orde hebben en ‘AVG-compliant’ zijn. Dit geldt niet alleen voor Europese organisaties, maar voor elk bedrijf wereldwijd dat gegevens van EU-burgers verzamelt of verwerkt.
In dit artikel bekijken we enkele aspecten van de AVG waarmee alle organisaties te maken krijgen, of ze nu groot of klein zijn. De AVG doet enkele kleine concessies aan het mkb, waar ondernemingen met minder dan 250 werknemers en een jaaromzet van maximaal 50 miljoen euro onder vallen.
In dit artikel kijken we naar wat de AVG is en om wat voor concessies het gaat voor het mkb. Daarna geven we enkele tips om je bedrijf correct en volgens de AVG te laten werken.
De ‘grote boze’ AVG
In het woud van AVG-regels voelen veel bedrijven zich als Roodkapje: bang voor de Grote Boze Wolf. Maar is de Algemene Verordening Gegevensbescherming werkelijk zo angstaanjagend? Het is wellicht te gemakkelijk om de AVG te zien als een bureaucratische boosdoener die alleen uit is op het innen van boetes. In de eerste plaats is de AVG immers vooral in het leven geroepen om de privacy van de mens beter te beschermen in een digitale wereld.
Persoonlijke gegevens zijn de drijvende kracht achter online transacties. Online diensten lopen dan ook over van alle gevoelige informatie die ze verzamelen. Als reactie hierop besloot de Europese Unie de Data Protection Directive (DPD) uit 1995 te updaten. De nieuwe versie werd uiteindelijk de GDPR, of AVG in het Nederlands.
Het idee achter de AVG is het beschermen van de persoonlijke gegevens en privacy van alle EU-inwoners. Deze bescherming reikt zó ver dat gebruikers zeggenschap hebben over hoe en waarvoor hun gegevens worden gebruikt. EU-burgers hebben in totaal acht rechten met betrekking tot dataverzameling die zij kunnen gebruiken om verzamelde gegevens in te zien, aan te passen, te wissen, enzovoort. Bovendien moeten burgers ook altijd toestemming geven voordat hun gegevens überhaupt verzameld mogen worden.
Hoe werkt de AVG voor het mkb?
De AVG is van toepassing op alle organisaties in de EU, ongeacht organisatievorm of -omvang. Ook geldt de AVG niet alleen voor organisaties binnen de EU, maar voor alle organisaties wereldwijd die gegevens van EU-burgers verwerken. Er is echter wel een uitzondering voor het mkb. In de wet (artikel 2a) kun je het volgende lezen:
De Autoriteit Persoonsgegevens neemt bij de toepassing van de verordening de specifieke behoeften van kleine, middelgrote en micro-ondernemingen als bedoeld in artikel 2 van de bijlage bij Aanbeveling 2003/361/EG van de Commissie van 6 mei 2003 betreffende de definitie van kleine, middelgrote en micro-ondernemingen (PbEU 2003 L124) in aanmerking.”
Met andere woorden, jouw organisatie moet alsnog in alle opzichten voldoen aan de AVG. Ook als je maar één werknemer hebt en je persoonlijke gegevens verwerkt die:
- met enige regelmaat worden verwerkt;
- een mogelijk risico vormen voor de persoon in kwestie; of
- in een ‘bijzondere categorie’ vallen.
Is de AVG verplicht voor de gemiddelde mkb?
In de praktijk komt het erop neer dat haast elke organisatie zich aan de AVG moet houden. De AVG draait immers niet alleen om klantgegevens, maar om de gegevens van elke EU-ingezetene waar je als organisatie mee te maken krijgt. Hier horen ook prospects, medewerkers, externe adviseurs en zelfs sollicitanten bij.
Het overgrote deel van alle organisaties moet daardoor alsnog voldoen aan de documentatieplicht van de AVG. Uiteindelijk maakt het voor de AVG dus weinig meer uit of je minder dan 250 werknemers hebt en deel van het mkb bent. Als je gegevens verzamelt en verwerkt, moet je dit volgens de AVG-wetgeving doen.
6 AVG-tips voor mkb-bedrijven
Voldoen aan de AVG draait vooral om voorbereiding, verwerking en toepassing. Wij geven je zes tips die je in het mkb kunnen helpen AVG-compliant te worden en blijven.
Tip 1: Heb je met de Algemene Verordening Gegevensbescherming te maken?
Zoek uit of je organisatie zich aan de AVG dient te houden. Kijk ook eens naar ons artikel ‘Aan de slag met de AVG‘. Hier vind je meer informatie over de AVG en wie er op welke manier mee te maken heeft.
Als je aan de AVG moet voldoen, kun je overwegen gebruik te maken van externe consultancy. Dit kan bijvoorbeeld met de diensten van een managed security service provider (MSSP) of een functionaris gegevensbescherming.
Het in dienst nemen van een functionaris gegevensbescherming is in sommige gevallen verplicht, bijvoorbeeld wanneer je een overheidsinstantie bent. In hoofdstuk 5.4.1 van dit document lees je of je verplicht bent een functionaris gegevensbescherming in te huren.
Zelfs als je wettelijk gezien geen functionaris hoeft aan te nemen, kan het toch verstandig zijn dit te doen. Een functionaris gegevensbescherming heeft diepgaande kennis van de AVG en onderhoudt ook contact met de autoriteiten. Deze kennis en connecties kunnen erg goed van pas komen. Ook zijn verschillende MSSP’s gespecialiseerd in AVG-compliance, waarbij ze daarnaast voor jouw algemene cybersecurity zorgen.
Tip 2: Ken je gegevens
De AVG hanteert verschillende gegevenscategorieën. Gebruik deze categorieën om de gegevens binnen jouw organisatie in kaart te brengen. Maak een overzicht van alle gegevens die hun weg naar je bedrijf vinden en registreer wat daarmee gebeurt. Vergeet hierbij social media-berichten en online gesprekken niet.
Dit overzicht komt van pas bij het documenteren van je gegevensprocessen en -procedures. Als je een goed overzicht hebt van alle gegevens die je als organisatie in handen hebt, is het veel gemakkelijker om de manier waarop je met die gegevens omgaat aan te passen.
Het minimaliseren van de gegevens binnen je organisatie (dataminimalisatie) gaat met goede documentatie ook veel gemakkelijker. Met het oog op de AVG en algemene privacy is het beter om geen onnodige gegevens te verzamelen.
Bovendien scheelt dit een hoop werk en maakt het je bedrijf efficiënter. Hierdoor kun je weer heel wat kosten besparen. Als je de hoeveelheid verwerkte gegevens binnen je bedrijf kunt beperken, doe dat dan dus vooral. Is het bijvoorbeeld écht nodig dat je het geslacht, de leeftijd of de burgerlijke staat van je klanten weet?
Tip 3: Maak een goede privacyverklaring
Met je gegevensoverzicht kom je er snel achter waar gegevens je systemen binnenkomen, waar ze naartoe gaan en wat je ermee doet. Zo kun je bepalen wanneer en op welke manier je om toestemming moet vragen.
Om in overeenstemming met de AVG te handelen, moet je een rechtmatige reden hebben voor het verwerken van gegevens. Dit betekent dat je duidelijk, ondubbelzinnig en expliciet om toestemming moet vragen om de gegevens van een EU-ingezetene te verzamelen en gebruiken.
Zorg voor goede privacyverklaringen en voorwaarden die laten zien dat je de AVG en privacybescherming serieus neemt. Deze verklaringen moeten duidelijk vermelden wat je met persoonlijke gegevens doet.
Je kunt op veel plekken terecht voor advies rondom het opstellen van privacyverklaringen. Zo heeft de Nederlandse overheid een speciale privacyverklaring generator opgezet. Hier voer je je gegevens in, waarna er een basistekst verschijnt die je vrij kunt gebruiken. Deze kun je vervolgens zelf natuurlijk naar wens aanpassen.
Tip 4: Documenteer
De AVG stelt dat er een beperkte documentatieplicht geldt voor bedrijven met minder dan 250 medewerkers. In werkelijkheid zul je in de meeste gevallen toch je gegevensverwerking moeten vastleggen. The Information Commissioner’s Office (ICO), een overheidsorgaan in het Verenigd Koninkrijk, heeft een lijst opgesteld met zaken die je vast dient te leggen als je persoonlijke gegevens beheert. Zo moet je onder andere het soort gegevens dat je verzamelt, de reden voor het verzamelen en de beveiligingsmethoden die je hanteert vastleggen.
Als je deze liever in het Nederlands leest, ga dan naar hoofdstuk 5.3.4 in deze handleiding. In de paragraaf daarvoor lees je of jouw bedrijf tussen de uitzonderingen valt wat betreft de documentatieplicht.
Tip 5: Bescherm je gegevens
Hoewel de AVG niet voorschrijft wat voor beveiligingsmaatregelen je moet toepassen om gegevens te beschermen, valt er in artikel 32 te lezen dat:
… treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen.”
Je bent als bedrijf dus verplicht om de gegevens die je verzameld, ook goed te beschermen tegen alle mogelijke risico’s die van toepassing zijn op jouw bedrijf. De wettekst geeft enige suggesties, zoals het pseudonimiseren en versleutelen van gegevens en het toepassen van goede authenticatiemethoden om de veiligheid van gegevens te waarborgen. Ook voor deze veiligheidsmaatregelen kun je de diensten van een MSSP inschakelen.
Tip 6: Ga zo door!
Werken in overeenstemming met de AVG is geen eenmalige taak. Het is een proces waar je continu mee bezig bent. Omstandigheden kunnen veranderen. Nieuwe technologieën komen op de markt, je wisselt eens van cloudprovider, je implementeert nieuwe applicaties of je besluit aanpassingen te maken aan het soort data dat je verzamelt.
Wil je in overeenstemming met de AVG blijven werken? Dan zul je de gegevensstromen in je organisatie elke keer opnieuw in kaart moeten brengen wanneer er relevante wijzigingen zijn gedaan. Dat is niet gemakkelijk, maar als je het in eerste instantie op orde hebt, gaat het aanpassen steeds sneller. Als je het bovendien niet doet, riskeer je een gegevenslek of boete. Dit kan je organisatie letterlijk duur komen te staan. Boetes van de Autoriteit Persoonsgegevens kunnen namelijk oplopen tot 4% van je jaaromzet of 20 miljoen euro.
Ook voor het mkb: wees AVG-veilig!
Ook als je een kleinere organisatie bent, moet je je ‘gewoon’ aan de Algemene Verordening Gegevensbescherming houden. Alsnog hoeft de AVG geen hoofdpijndossier te zijn. Als je er even voor gaat zitten, kun je binnen korte tijd orde op zaken stellen. Maak hier daarom routine van.
In overeenstemming met de AVG werken betekent echter meer dan ‘slechts’ aan de wet voldoen. De AVG draait in essentie om respectvolle omgang met persoonlijke gegevens. Dit respect richting klanten, medewerkers en andere partijen betaalt zich uit in verbeterde relaties, gebaseerd op het fundamentele recht om je eigen gegevens te kunnen beheren. Het is dus altijd verstandig om de AVG te zien als een recht in plaats van een bedrijfsobstakel.
AVG voor het mkb: veelgestelde vragen
Heb je een korte vraag waar je snel antwoord op wilt? Kijk dan in onze FAQ of stel hem in de reacties.
Wat is de AVG?
AVG staat voor Algemene Verordening Gegevensbescherming. Dit is de Nederlandse naam van de Europese wet ‘General Data Protection Regulation’ (GDPR).
In het kort is de AVG tot leven geroepen om de privacy van Europese burgers te beschermen. Het eist van bedrijven dat deze geen onnodige persoonsgegevens opvraagt en de verzamelde data goed beschermt.
Moet mijn bedrijf zich aan de AVG houden?
Elk bedrijf dat gegevens verwerkt van burgers uit de EU moet zich aan de AVG houden. Er bestaan enkele uitzonderingen in de documentatieplicht voor bedrijven van minder dan 250 medewerkers die de volgende gegevens niet verwerken:
- Gegevens die met enige regelmaat verwerkt worden.
- Gegevens die een mogelijk risico vormen voor de persoon in kwestie.
- Gegevens die in een ‘bijzondere categorie’ vallen.
In de praktijk moet dus ieder bedrijf zich aan de AVG houden. Heb je daar hulp bij nodig, dan hebben we een aantal goede tips.
Heb ik een functionaris gegevensbescherming nodig?
In sommige gevallen is het aannemen van een functionaris gegevensbescherming verplicht, bijvoorbeeld bij een overheidsorganisatie. In andere gevallen loont het wel om iemand in dienst te nemen of een managed security service provider in te huren. Zo weet je zeker dat je bedrijf cybersecure én AVG-compliant is.
Hoe beveilig ik mijn bedrijfsgegevens?
Er zijn enkele eenvoudige stappen waarmee je jouw bedrijfsgegevens al beschermt, zoals:
- Zorg voor een goede virusscanner.
- Update je software regelmatig.
- Gebruik complexe wachtwoorden.
Andere tips en manieren waarop je jouw medewerkers traint veilig om te gaan met bedrijfsgegevens, lees je in ‘Hoe bescherm je je bedrijfsnetwerk?‘
David Janssen
Cybersecurity analist
David is cybersecurity analist en een van de oprichters van VPNgids.nl. Sinds 2014 heeft hij internationale ervaring opgedaan in het werken met overheden, NGO’s en de private sector als cybersecurity- en VPN-deskundige en adviseur.
Meer artikelen uit de sectie Zakelijk
Wat is een bug bounty?
13 juni 2024
VLAN uitleg: wat is Virtual LAN en hoe zet je het op?
13 oktober 2022
Wat is een ‘workation’, en hoe blijf je veilig?
23 december 2022
