Nieuwe privacywetgeving brengt mkb in gevaar

Nederland ICT, MKB Nederland, DDMA en Mediafederatie uiten zorgen in open brief

De nieuwe aanvullende wet op de GDPR/AVG, de zogenaamde ePrivacy-verordening, dreigt het mkb flink te raken. Dit stellen Nederland ICT, MKB Nederland, branchevereniging voor data en marketing DDMA en de Mediafederatie (voorheen het Nederland Uitgevers Verbond, NUV) in een brief die ze op hun eigen sites publiceren. Het kabinet heeft volgens deze partijen geen zicht op de gevolgen hiervan voor het midden- en kleinbedrijf.

‘Sinds 25 mei is de AVG van kracht. Ondertussen is er in Brussel alweer een aanvullende wet in de maak: de ePrivacy-verordening. Net als de AVG dreigen deze regels het mkb flink te raken. Het kabinet heeft hier vooralsnog geen oog voor en stuurt aan op meer snelheid in Brussel, in plaats van zorgvuldigheid en oog voor de gevolgen voor het mkb’, aldus de vier organisaties. Zij benadrukken in hun brief dat bij de toepassing van ePrivacy, bedoeld om de vertrouwelijkheid van digitale communicatie beter te beschermen, de juiste balans gevonden moet worden tussen het recht op privacy van burgers, de werking van de digitale economie en de mogelijkheden voor het Nederlandse bedrijfsleven om te innoveren.

Regeldruk

Volgens de vier brancheorganisaties komt het midden- en kleinbedrijf in gevaar door de wet. ‘In het beste geval leidt de verordening in al deze sectoren (van de digitale economie, red.) tot extra regeldruk. In het ergste geval kunnen producten en diensten niet meer worden aangeboden. Het ePrivacy-voorstel heeft in beide gevallen een negatieve impact op het mkb.’ Ze vervolgen: ‘De net ingevoerde AVG kent verschillende wettelijke grondslagen waarmee organisaties persoonsgegevens mogen verwerken. In het ePrivacy-voorstel mag er alleen nog persoonsdata worden verwerkt met toestemming van de gebruiker. Dit klinkt logisch, maar in de praktijk maakt dit het leven van zowel gebruikers als bedrijven een stuk ingewikkelder. Veel nieuwe technologieën maken gebruik van geaggregeerde data die niets meer te maken heeft met individuele bronnen. Denk aan kunstmatige intelligentie in de zorg of toepassingen voor crowd control.’ Ze voegen hieraan toe dat de huidige GDPR?AVG alternatieve mogelijkheden kent, terwijl de nieuwe wet die niet heeft.

Rol kabinet

Het kabinet moet volgens de partijen in kaart brengen wat de gevolgen van de nieuwe wet voor mkb- bedrijven zijn. ‘Dit, zodat het kabinet kan aansturen op regels die goed op elkaar aansluiten. Bij steeds complexer wordende digitale regelgeving, lijken vooralsnog alleen consultants en juristen gebaat.’ Daarnaast stellen de brancheorganisaties dat de huidige insteek van het kabinet botst met zijn eigen ambities. ‘In de onlangs uitgebrachte digitaliseringstrategie ambieert het kabinet om digitaal koploper van Europa te willen worden. Dit terwijl het kabinet tijdens de onderhandelingen over dit voorstel snelheid van Brusselse regelgeving verkiest boven kwaliteit. De negatieve impact op het Nederlandse bedrijfsleven en innovatie nemen ze voor lief. Op een bijeenkomst op 8 juni bespraken ministers van EU-lidstaten het ePrivacy-voorstel in Brussel. Tijdens deze bijeenkomst drong staatssecretaris Mona Keijzer van EZ merkwaardig genoeg aan op spoedige afronding van de onderhandelingen.’

Grondwetschending

Volgens de briefschrijvers komt zelfs de grondwet in gevaar. ‘Terwijl andere landen, zoals Duitsland en Frankrijk, onderzoek laten doen naar de gevolgen van de wet voor het eigen bedrijfsleven, duwt Nederland door met alle risico’s van dien. De overheid pleit zelfs actief voor een bepaling dat gebruikers niet de toegang tot een website of dienst mag worden ontzegd als deze geen toestemming geeft om persoonsgegevens te verwerken. Dit brengt niet alleen digitale verdienmodellen, innovatie en aanbod van gratis content verder in gevaar, maar schaadt ook het grondrecht van de vrijheid van ondernemerschap.’ Tot slot roepen de partijen Mona Keizer op om de EU tot ‘kalmte en zorgvuldigheid’ te manen in plaats van haast te maken.  

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Hoe de grote bedrijven de kleintjes klein houden. Door te lobbyen voor nog meer regeldruk. Ambtenaren vinden nog meer bureaucratie geweldig dus die gaan niet dwarsliggen. Die grote bedrijven kunnen die extra compliance wel bemensen en betalen terwijl de kleintjes het op de lange termijn afleggen en of opgekocht worden of failliet gaan.

Ach gut, het MKB schreeuwt weer moord en brand in plaats van de zaakjes op orde te brengen. Net zoals bij de AVG.
De concept-ePrivacy-verordening is alweer 1,5 jaar oud, inhoud en commentaren zijn genoegzaam bekend. Net zoals bij de AVG.
De concept-ePrivacy-verordening betreft slechts een update van reeds bestaande regelgeving op dat vlak. Net zoals bij de AVG.
De concept-ePrivacy-verordening gaat het hoofdzakelijk data-graaiers moelijker maken. Net zoals bij de AVG.

Het MKB is kennelijk nog bezig met 'bewustwording'. Net zoals bij de AVG.

Interessant stuk!

@ P.J. ... ik denk dat Johan de spijker op zijn kop slaat; de investering die het MKB (of wat te denken van zelfstandige ondernemers) is verhoudingsgewijs veel groter dan de investering die grote ondernemingen moeten doen om te voldoen aan deze wetgevingen.

(dito voor het verenigingsleven, welke met vrijwilligers moet zien te voldoen aan wetgevingen als de AVG)

@Pa : nou, die 'investering' valt - net zoals bij de AVG - héél erg mee hoor. En net zoals bij de AVG wordt ook hier van alles aan de haren erbij gesleept, tot aan schending van grondrechten aan toe. Het moet niet gekker worden. Niet-handsfree bellen is immers óók in strijd met de grondwet. Toch?

Ja, ons MKB zit vast heel diep in de 'geaggregeerde data', 'kunstmatige intelligentie' en 'crowd control'. Over wifi-tracking gek genoeg geen woord.
De klant wil geen radertje zijn in het verkoopproces van hijgerige ondermers en zal weinig medelijden hebben met deze krokodilletranen.

In plaats van "consultants en juristen" bij voorbaat de schuld te geven kan het MKB zich beter eens een beetje verdiepen in de materie, zo ingewikkeld is die niet en bovendien gratis te vinden op het Internet.
Dergelijke basiskennis is bovendien nodig om te bepalen of men überhaupt wel "consultants en juristen" nodig heeft, en om voor dat geval de eigen rol van opdrachtgever te kunnen invullen. Kwestie van een paar uurtjes inlezen. Tip : AVG en ePrivacy-richtlijn vullen elkaar aan.

Alternatief is natuurlijk om ook dit keer weer in een duur 'seminar' gaan zitten voor een 'stukje bewustwording' en je daarna geld uit je zak laten kloppen door cowboys. Eigen-schuld-dikke-bult.
De échte ondernemer - die met een eigen zaak - weet wel wat hem/haar te doen staat.

Uiteraard is voor ieder commentaar wat te zeggen maar het wordt wel te algemeen en komt een beetje in de buurt van klaagzang en verwijten. Ja, de AVG privacywetgeving omvat wetten en regels die zeker impact hebben op het MKB. De soep wordt echter niet zo heet gegeten zoals deze wordt gepresenteerd (opgediend). Als het bewustzijn bij het MKB management wordt "ingevlochten" waarbij overal meetbare kleine stapjes worden gemaakt (KaiZen methode), dan gaat dit prima en valt alles reuze mee. Een bijproduct van een goede AVG Scan (waar staan we nu) geeft ook nog eens andere risico's aan (behalve de grootste kans op lekken). Bijvoorbeeld: sommige organisaties bouwen of gebruiken (hosted) applicaties die een risico vormen, o.a. financieel, schaalbaarheid, functionele uitbreidingen, gebruikersgemak en integriteit van data. Een pragmatische aanpak met onderhoud lijkt de goede richting.

PaVaKe, wij maken praktische leermodules voor medewerkers bij bedrijven over AVG.
AVG juist voor MKB stelt helemaal niet zoveel voor en vind ik juist goed een leerzaam voor het MKB.

Denk dat de kosten voor AVG compliancy voor grotere bedrijven veel hoger is in verhouding en hun harder raakt dan MKB. De pakkans is overigens ook nihil en je moet het wel erg bont maken om geraakt te worden.

Een tip: zet geen jurist in voor AVG. Die maken het veel te moeilijk en willen ieder risico afdekken.

Maak een helder privacy statement. Zeg wat je opslaat en waarom en met wie je het deelt. Met die laatste partijen stel je een (sjabloon) verwerkersovereenkomst op. Alles wat je meer opslaat dan nodig heb je veelal toestemming nodig, vraag die dan ook en je moet wat doen met minderjarigen als dat relevant is.

Belangrijkste is dat je transparant bent en aan kunt tonen dat je het goed wilt doen. Geen AP gaat je hard straffen als je een goede uitleg hebt en het beter doet dan het gemiddelde.

Dan als laatste: Kijk eens kritisch naar je operatie. Kunnen door onwetendheid of onhandigheid mogelijk data gelekt worden? Neem daar dan wat gepaste maatregelen om het risico te verkleinen.

Dat zijn mijn twee centen.

Tja, al we het in de risicomanagement-sfeer gaan trekken dan wordt de zaak al helemaal simpel.

Om te beginnen doet het middenbedrijf - laat staan het kleinbedrijf - weinig tot niets met risicomanagement.
Daarnaast zijn AVG en ePrivacy-richtlijn slechts één van de vele business risks waarmee het MKB te maken heeft.
Daarbij zijn 'Probability', 'Impact' en 'Proximity' van dien aard dat de 'Expected Value' dusdanig is dat voor het merendeel van het MKB geldt dat afwachten van een 'last onder dwangsom' zijdens de AP economisch het voordeligst is. En 'Retention' dus de voor hand liggende 'Threat Response'.

Reden temeer vraagtekens te plaatsen bij de plotselinge druktemakerij van Nederland ICT, MKB Nederland, DDMA en de Mediafederatie.

Dat dit kabinet meer oog heeft voor de belangen van Anglo-Amerikaanse multinationals dan het MKB is een terechte klacht, de regeldruk werkt concurrentievervalsend zoals Johan al terecht stelt in zijn reactie. Anderzijds dient het MKB ook meer oog te hebben voor de globalisering die Internet bracht want de consument winkelt hierdoor even makkelijk over grens, de regelgeving in de Europese markt is echter allesbehalve eenvoudig want vaak zijn er de plaatselijke vertalingen. Ik zal hier niet in gaan op Het verschil tussen een 'enterprise' en een multinational maar Henri gaat iets te kort door de bocht. Er zijn namelijk nog veel losse eindjes met als gevolg dat regels uiteindelijk weer aangepast moeten worden met de welbekende herstelwetten door het voortschrijdende inzicht.

De klacht is dus gegrond alleen heeft het weinig zin om je te gaan verzetten tegen de wind die nu vanuit Brussel waait. Let wel, ik zie Brussel niet als medicijn maar als kwaal want eerder hebben ze naar aanleiding van 9-11 onze privacy verkwanseld. Want 9 van de 10 burgers zal namelijk zijn privacy inruilen voor de schijnveiligheid die politici beloven wat Europese circus zo lachwekkend maakt. Oja, ik blijf dus het MKB met anonieme loyaliteitssysteem van zegeltjes sparen trouw zoals ik trouw blijf aan de Nederlandse wapenspreuk.

Oja, wetgeving loopt altijd achter op de praktijk die buiten de Haagse stolp weerbarstiger is dan kamerleden denken. Ik heb begrip voor de reacties maar ook voor klachten vanuit het veld want ik ken geen wet die het vrije ondernemerschap regelt als ik kijk naar de verschillende rechtspersonen binnen Nederlandse wetgeving. Ik wijk nu af van de context over privacy maar het BTW-nummer van veel ondernemers is gelijk aan het BSN-nummer. Zoals gezegd zijn er dus nog veel 'losse eindjes' in de privacy die MKB op achterstand zetten. Zo is het heel opmerkelijk dat 'lessons learned' van een faillissement - insolventieregister/handelsregister - in Nederland voor negatieve waardering zorgen en in Amerika voor een positieve. Oja, het hele balletje over de privacy begon te rollen toen iemand in Spanje hier bezwaar tegen maakte.

@Henri: zoals jij het beschrijft is ongeveer ook hoe we het als sportvereniging aangevlogen hebben. De extra uitdaging die we daar hebben is dat zo'n vereniging op vrijwilligers draait, waardoor er geen IT beheerder is om dingen te beheren, controleren en/of corrigeren.
Bewustwording, transparantie en aantonen dat we doen wat redelijkerwijs mogelijk is, is de aanpak die wij gekozen hebben

@PaVaKe
Ik snap je probleem maar bezoldigd of niet, gebrek aan tijd (of vrijwilligers) om te voldoen aan wettelijke eisen is geen excuus. Jaren geleden heb ik al gewezen op de bedot.com economie omdat het recht op correctie en verwijdering stilletjes achter de 'betaalmuur' van registratieorganisaties aan het verdwijnen is. Dat door corruptie van sportbonden er jaarlijks €1 miljard in de Zwitserse staatskas verdwijnt vinden we echter minder interessant dan de €2 miljard aan misgelopen dividendbelasting.

Nederland, verenigingsland is door de clausules in statuten één groot circus van lobbyisten waarin concurrentievervalsende (branch)afspraken met registratieorganisaties simpelweg niet aan de leden uit te leggen zijn. Enige jaren geleden was er discussie over een registratieorganisatie zoals Equihold die op dezelfde manier van chantage een verdienmodel in de sport zocht wat tot paniek bij Nederland ICT leidde omdat de integriteit ver te zoeken was bij verwerving van opdrachten in publieke sector. Dat een bond een service zoals Sportlink kosteloos aanbiedt is net zo lachwekkend als dat Rutte beweert dat we ons geld van de Grieken met rente terug krijgen als ik kijk naar de bondsafdrachten die elk jaar hoger worden maar waar blijkens de uitleg van bestuursleden niets tegen te doen valt. Het failliet van de feodale institutionele sportbonden die wel de lusten van afdrachten vanuit de verenigingen willen maar niet het recht tot stemming middels indirect lidmaatschap is een kwestie van tijd.

Oja, ik heb even een 'rondje gedaan' bij sportverenigingen en kom tot de conclusies dat 90% geen privacyverklaring in hun huishoudelijk reglement heeft waardoor leden niet weten wat er met hun persoonsgegevens gedaan wordt en wat hun rechten daarin zijn. Dat laatste is voor veel oud-leden nogal pijnlijk want ik denk dat weinig bonden weg komen met het excuus dat het bewaren van gegevens waarvoor geen wettelijk grondslag meer is wel makkelijk is......

@Ewout : ik ben het met je eens dat het gegeven dat een vereniging op vrijwilligers draait geen excuus is, maar de praktijk wijst, zoals je al gemerkt hebt, uit dat verenigingen kennis, kunde en middelen ontbreekt om volledig aan de AVG te voldoen.

Het goede nieuws is overigens dat de meeste sportverenigingen geen gevoelige informatie opgeslagen hebben over hun leden, wat e.e.a. een stukje makkelijker maakt.

De rest van je reactie is een leuk stuk proza, maar dwaalt wel heel erg af van het onderwerp

@PaVaKe
Ik denk dat je te naïef bent want gevoelige persoonsgegevens, variërend van medische- tot tuchtgegevens, worden bijgehouden bij registratieorganisaties waarvan je blijkbaar het bestaan niet eens weet.

Verder zijn - volgens mij - veel vrijwilligers onbetaald maar niet onopgeleid want je kunt zonder kennis van de regels niet een wedstrijd fluiten, niet op (inter)nationaal niveau. Hetzelfde geldt voor de trainers, kwaliteit wordt uiteindelijk bepaald door de diploma's. Let op, ook hier stelt de wet eisen want het EHBO-diploma is steeds vaker verplicht.

PaVaKe, ik heb meer dan 30 jaar ervaring als vrijwilliger en lul niet uit mijn nek want mijn proza wijkt misschien af van het onderwerp maar ervaring leert je de wegen kennen want in Nederland, verenigingsland blijken zelfmeegebrachte boterhammetjes misplaatst te zijn. Overkoepelende organisatie als NOC*NSF biedt een heleboel bruikbare informatie over de AVG. En regionale/provinciale (top)sportservices bieden vaak (gratis) cursussen aan waardoor ik het argument van te weinig kennis en kunde van tafel veeg.

@Ewout : laten we het er op houden dat jouw ervaringen en de mijne behoorlijk ver uit elkaar liggen.

Ik heb me afgelopen maanden bezig gehouden met de AVG voor een sportclub, en daar worden toch echt geen persoonlijke gegevens opgeslagen, is EHBO niet verplicht en bood de overkoepelende organisatie heel veel interessante informatie, maar die was vooral gericht op grote en (semi-)professionele sportclubs en organisaties.

Om je een voorbeeld te noemen: als je club draait op vrijwilligers, welke hun persoonlijke IT apparatuur gebruiken om de administratie te doen, hoe kun je dan als vereniging borgen dat al deze apparatuur voorzien zijn van de laatste veiligheidsupdates, dat deze mensen hun systemen niet delen met anderen etc. Als club hebben we namelijk geen IT beheerder, en is deze apparatuur niet ons eigendom.

@PaVaKe
Ik wees op registratieorganisaties want de toegang tot de cloud met eigen IT middelen veranderd uiteindelijk weinig aan het autorisatiemodel. Verder denk ik - op basis van argumenten - dat een ledenadministratie persoonsgegevens bevat, jij denkt van niet.

We agree to disagree omdat jij van een organisatorisch vraagstuk een IT probleem wilt maken. Ondanks dat ik je wijs op role-based processen - de ledenadministrateur is niet altijd per definitie de penningmeester - blijf je volharden in je onnozelheid aangaande een beheerder voor de gereedschappen.

Het vraagstuk is redelijk simpel terug te brengen tot een keus of je persoonsgegevens naar de gebruiker brengt of de gebruiker naar de persoonsgegevens. Bij laatste moet je dus rekening houden met verwerkersovereenkomsten. Maar aangezien jouw conclusies luidt dat er geen persoonsgevens zijn is dat dus niet relevant, de contributie bij jouw club wordt blijkbaar dus contant of middels bitcoins betaald.

@Ewout: ik bedoelde, zoals in een eerdere reactie al aangegeven, gevoelige persoonsgegevens ipv de reguliere persoonsgegevens.

Als jij, met je 30 jaar ervaring, mensen in een discussie, onnozel gaat noemen, zijn we wat mij betreft uitgediscussieerd.

https://www.vrijwilligersaanzet.nl/2018/01/04/vrijwilligers-en-avg-zo-bereid/

Het realiteitsgehalte en reikwijdte van de punten die onder andere bij 3 genoemd worden is lastig in te schatten – in ieder geval voor mij dan toch.

Maar wat ik er tot nu toe van begrepen heb is dat je als vereniging een verwerkersovereenkomst dient af te sluiten met vrijwilligers die gegevens van leden administreren; ook als het enkel “reguliere” NAW-gegevens zijn.

Dat geldt ook voor de vrijwilliger die met enige regelmaat ieder lid via e-mail een PDF stuurt met het clubblad en de uitnodiging voor de jaarlijkse ALV.
Dat e-mail adres krijgt ie doordat degene die de ledenadministratie doet hem/haar elke maand de Excel sheet doorstuurd met de laatste stand van zaken.

Als de vrijwilliger gebruik maakt van eigen hard- en software wordt dat expliciet genoemd en gekoppeld aan de verplichting om die hard- en software up-to-date te houden. Ook wordt er iets gezegd over het delen van deze gegevens met derden.

De rationale hierachter zit hem in het bankrekeningnummer: om te controleren of een lid zijn contributie betaald heb je dat nummer nodig. Met in het verlengde: mocht een lid niet of niet op tijd betalen, dan zijn er verenigingen die op enig moment een incassobureau inschakelen. Dan worden er persoonsgegevens gedeeld met een externe partij (waarop overigens ook een verwerkersovereenkomst van toepassing is!).

Ook kan het gebeuren dat leden geroyeerd worden; bijvoorbeeld wegens wanbetaling of wangedrag. Naar verwachting gaat ook dit geadministreerd worden en is zeker niet te zien als “reguliere” NAW-gegevens.

Een ander punt van aandacht zit hem in de vergoedingen sfeer: er zijn verenigingen die vrijwilligers (bijvoorbeeld trainers en voorzitters) een onkostenvergoeding betalen. De overheid heeft hier limieten op gezet die gecontroleerd kunnen worden door de belastingdienst. In dat kader is het nodig het BSN te administreren.

Misschien dat bovenstaande voorbeelden allemaal wat vergezocht is voor jullie vereniging en de manier waarop het de afgelopen jaren gegaan is.
Maar goed – de situatie is veranderd en ik heb het al een paar keer meegemaakt dat als er ergens “str…” aan de knikker is zo een beetje alles en iedereen onder een vergrootglas komt te liggen; gekoppeld aan de nodige rondjes zwarte pieten… niets menselijks is ons vreemd… toch?

;-)

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2018-09-25T10:04:00.000Z Christel Dieleman
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.