De nieuwe aanvullende wet op de GDPR/AVG, de zogenaamde ePrivacy-verordening, dreigt het mkb flink te raken. Dit stellen Nederland ICT, MKB Nederland, branchevereniging voor data en marketing DDMA en de Mediafederatie (voorheen het Nederland Uitgevers Verbond, NUV) in een brief die ze op hun eigen sites publiceren. Het kabinet heeft volgens deze partijen geen zicht op de gevolgen hiervan voor het midden- en kleinbedrijf.
‘Sinds 25 mei is de AVG van kracht. Ondertussen is er in Brussel alweer een aanvullende wet in de maak: de ePrivacy-verordening. Net als de AVG dreigen deze regels het mkb flink te raken. Het kabinet heeft hier vooralsnog geen oog voor en stuurt aan op meer snelheid in Brussel, in plaats van zorgvuldigheid en oog voor de gevolgen voor het mkb’, aldus de vier organisaties. Zij benadrukken in hun brief dat bij de toepassing van ePrivacy, bedoeld om de vertrouwelijkheid van digitale communicatie beter te beschermen, de juiste balans gevonden moet worden tussen het recht op privacy van burgers, de werking van de digitale economie en de mogelijkheden voor het Nederlandse bedrijfsleven om te innoveren.
Regeldruk
Volgens de vier brancheorganisaties komt het midden- en kleinbedrijf in gevaar door de wet. ‘In het beste geval leidt de verordening in al deze sectoren (van de digitale economie, red.) tot extra regeldruk. In het ergste geval kunnen producten en diensten niet meer worden aangeboden. Het ePrivacy-voorstel heeft in beide gevallen een negatieve impact op het mkb.’ Ze vervolgen: ‘De net ingevoerde AVG kent verschillende wettelijke grondslagen waarmee organisaties persoonsgegevens mogen verwerken. In het ePrivacy-voorstel mag er alleen nog persoonsdata worden verwerkt met toestemming van de gebruiker. Dit klinkt logisch, maar in de praktijk maakt dit het leven van zowel gebruikers als bedrijven een stuk ingewikkelder. Veel nieuwe technologieën maken gebruik van geaggregeerde data die niets meer te maken heeft met individuele bronnen. Denk aan kunstmatige intelligentie in de zorg of toepassingen voor crowd control.’ Ze voegen hieraan toe dat de huidige GDPR?AVG alternatieve mogelijkheden kent, terwijl de nieuwe wet die niet heeft.
Rol kabinet
Het kabinet moet volgens de partijen in kaart brengen wat de gevolgen van de nieuwe wet voor mkb- bedrijven zijn. ‘Dit, zodat het kabinet kan aansturen op regels die goed op elkaar aansluiten. Bij steeds complexer wordende digitale regelgeving, lijken vooralsnog alleen consultants en juristen gebaat.’ Daarnaast stellen de brancheorganisaties dat de huidige insteek van het kabinet botst met zijn eigen ambities. ‘In de onlangs uitgebrachte digitaliseringstrategie ambieert het kabinet om digitaal koploper van Europa te willen worden. Dit terwijl het kabinet tijdens de onderhandelingen over dit voorstel snelheid van Brusselse regelgeving verkiest boven kwaliteit. De negatieve impact op het Nederlandse bedrijfsleven en innovatie nemen ze voor lief. Op een bijeenkomst op 8 juni bespraken ministers van EU-lidstaten het ePrivacy-voorstel in Brussel. Tijdens deze bijeenkomst drong staatssecretaris Mona Keijzer van EZ merkwaardig genoeg aan op spoedige afronding van de onderhandelingen.’
Grondwetschending
Volgens de briefschrijvers komt zelfs de grondwet in gevaar. ‘Terwijl andere landen, zoals Duitsland en Frankrijk, onderzoek laten doen naar de gevolgen van de wet voor het eigen bedrijfsleven, duwt Nederland door met alle risico’s van dien. De overheid pleit zelfs actief voor een bepaling dat gebruikers niet de toegang tot een website of dienst mag worden ontzegd als deze geen toestemming geeft om persoonsgegevens te verwerken. Dit brengt niet alleen digitale verdienmodellen, innovatie en aanbod van gratis content verder in gevaar, maar schaadt ook het grondrecht van de vrijheid van ondernemerschap.’ Tot slot roepen de partijen Mona Keizer op om de EU tot ‘kalmte en zorgvuldigheid’ te manen in plaats van haast te maken.
@PaVaKe
Ik snap je probleem maar bezoldigd of niet, gebrek aan tijd (of vrijwilligers) om te voldoen aan wettelijke eisen is geen excuus. Jaren geleden heb ik al gewezen op de bedot.com economie omdat het recht op correctie en verwijdering stilletjes achter de ‘betaalmuur’ van registratieorganisaties aan het verdwijnen is. Dat door corruptie van sportbonden er jaarlijks €1 miljard in de Zwitserse staatskas verdwijnt vinden we echter minder interessant dan de €2 miljard aan misgelopen dividendbelasting.
Nederland, verenigingsland is door de clausules in statuten één groot circus van lobbyisten waarin concurrentievervalsende (branch)afspraken met registratieorganisaties simpelweg niet aan de leden uit te leggen zijn. Enige jaren geleden was er discussie over een registratieorganisatie zoals Equihold die op dezelfde manier van chantage een verdienmodel in de sport zocht wat tot paniek bij Nederland ICT leidde omdat de integriteit ver te zoeken was bij verwerving van opdrachten in publieke sector. Dat een bond een service zoals Sportlink kosteloos aanbiedt is net zo lachwekkend als dat Rutte beweert dat we ons geld van de Grieken met rente terug krijgen als ik kijk naar de bondsafdrachten die elk jaar hoger worden maar waar blijkens de uitleg van bestuursleden niets tegen te doen valt. Het failliet van de feodale institutionele sportbonden die wel de lusten van afdrachten vanuit de verenigingen willen maar niet het recht tot stemming middels indirect lidmaatschap is een kwestie van tijd.
Oja, ik heb even een ‘rondje gedaan’ bij sportverenigingen en kom tot de conclusies dat 90% geen privacyverklaring in hun huishoudelijk reglement heeft waardoor leden niet weten wat er met hun persoonsgegevens gedaan wordt en wat hun rechten daarin zijn. Dat laatste is voor veel oud-leden nogal pijnlijk want ik denk dat weinig bonden weg komen met het excuus dat het bewaren van gegevens waarvoor geen wettelijk grondslag meer is wel makkelijk is……
@Ewout : ik ben het met je eens dat het gegeven dat een vereniging op vrijwilligers draait geen excuus is, maar de praktijk wijst, zoals je al gemerkt hebt, uit dat verenigingen kennis, kunde en middelen ontbreekt om volledig aan de AVG te voldoen.
Het goede nieuws is overigens dat de meeste sportverenigingen geen gevoelige informatie opgeslagen hebben over hun leden, wat e.e.a. een stukje makkelijker maakt.
De rest van je reactie is een leuk stuk proza, maar dwaalt wel heel erg af van het onderwerp
@PaVaKe
Ik denk dat je te naïef bent want gevoelige persoonsgegevens, variërend van medische- tot tuchtgegevens, worden bijgehouden bij registratieorganisaties waarvan je blijkbaar het bestaan niet eens weet.
Verder zijn – volgens mij – veel vrijwilligers onbetaald maar niet onopgeleid want je kunt zonder kennis van de regels niet een wedstrijd fluiten, niet op (inter)nationaal niveau. Hetzelfde geldt voor de trainers, kwaliteit wordt uiteindelijk bepaald door de diploma’s. Let op, ook hier stelt de wet eisen want het EHBO-diploma is steeds vaker verplicht.
PaVaKe, ik heb meer dan 30 jaar ervaring als vrijwilliger en lul niet uit mijn nek want mijn proza wijkt misschien af van het onderwerp maar ervaring leert je de wegen kennen want in Nederland, verenigingsland blijken zelfmeegebrachte boterhammetjes misplaatst te zijn. Overkoepelende organisatie als NOC*NSF biedt een heleboel bruikbare informatie over de AVG. En regionale/provinciale (top)sportservices bieden vaak (gratis) cursussen aan waardoor ik het argument van te weinig kennis en kunde van tafel veeg.
@Ewout : laten we het er op houden dat jouw ervaringen en de mijne behoorlijk ver uit elkaar liggen.
Ik heb me afgelopen maanden bezig gehouden met de AVG voor een sportclub, en daar worden toch echt geen persoonlijke gegevens opgeslagen, is EHBO niet verplicht en bood de overkoepelende organisatie heel veel interessante informatie, maar die was vooral gericht op grote en (semi-)professionele sportclubs en organisaties.
Om je een voorbeeld te noemen: als je club draait op vrijwilligers, welke hun persoonlijke IT apparatuur gebruiken om de administratie te doen, hoe kun je dan als vereniging borgen dat al deze apparatuur voorzien zijn van de laatste veiligheidsupdates, dat deze mensen hun systemen niet delen met anderen etc. Als club hebben we namelijk geen IT beheerder, en is deze apparatuur niet ons eigendom.
@PaVaKe
Ik wees op registratieorganisaties want de toegang tot de cloud met eigen IT middelen veranderd uiteindelijk weinig aan het autorisatiemodel. Verder denk ik – op basis van argumenten – dat een ledenadministratie persoonsgegevens bevat, jij denkt van niet.
We agree to disagree omdat jij van een organisatorisch vraagstuk een IT probleem wilt maken. Ondanks dat ik je wijs op role-based processen – de ledenadministrateur is niet altijd per definitie de penningmeester – blijf je volharden in je onnozelheid aangaande een beheerder voor de gereedschappen.
Het vraagstuk is redelijk simpel terug te brengen tot een keus of je persoonsgegevens naar de gebruiker brengt of de gebruiker naar de persoonsgegevens. Bij laatste moet je dus rekening houden met verwerkersovereenkomsten. Maar aangezien jouw conclusies luidt dat er geen persoonsgevens zijn is dat dus niet relevant, de contributie bij jouw club wordt blijkbaar dus contant of middels bitcoins betaald.
@Ewout: ik bedoelde, zoals in een eerdere reactie al aangegeven, gevoelige persoonsgegevens ipv de reguliere persoonsgegevens.
Als jij, met je 30 jaar ervaring, mensen in een discussie, onnozel gaat noemen, zijn we wat mij betreft uitgediscussieerd.
https://www.vrijwilligersaanzet.nl/2018/01/04/vrijwilligers-en-avg-zo-bereid/
Het realiteitsgehalte en reikwijdte van de punten die onder andere bij 3 genoemd worden is lastig in te schatten – in ieder geval voor mij dan toch.
Maar wat ik er tot nu toe van begrepen heb is dat je als vereniging een verwerkersovereenkomst dient af te sluiten met vrijwilligers die gegevens van leden administreren; ook als het enkel “reguliere” NAW-gegevens zijn.
Dat geldt ook voor de vrijwilliger die met enige regelmaat ieder lid via e-mail een PDF stuurt met het clubblad en de uitnodiging voor de jaarlijkse ALV.
Dat e-mail adres krijgt ie doordat degene die de ledenadministratie doet hem/haar elke maand de Excel sheet doorstuurd met de laatste stand van zaken.
Als de vrijwilliger gebruik maakt van eigen hard- en software wordt dat expliciet genoemd en gekoppeld aan de verplichting om die hard- en software up-to-date te houden. Ook wordt er iets gezegd over het delen van deze gegevens met derden.
De rationale hierachter zit hem in het bankrekeningnummer: om te controleren of een lid zijn contributie betaald heb je dat nummer nodig. Met in het verlengde: mocht een lid niet of niet op tijd betalen, dan zijn er verenigingen die op enig moment een incassobureau inschakelen. Dan worden er persoonsgegevens gedeeld met een externe partij (waarop overigens ook een verwerkersovereenkomst van toepassing is!).
Ook kan het gebeuren dat leden geroyeerd worden; bijvoorbeeld wegens wanbetaling of wangedrag. Naar verwachting gaat ook dit geadministreerd worden en is zeker niet te zien als “reguliere” NAW-gegevens.
Een ander punt van aandacht zit hem in de vergoedingen sfeer: er zijn verenigingen die vrijwilligers (bijvoorbeeld trainers en voorzitters) een onkostenvergoeding betalen. De overheid heeft hier limieten op gezet die gecontroleerd kunnen worden door de belastingdienst. In dat kader is het nodig het BSN te administreren.
Misschien dat bovenstaande voorbeelden allemaal wat vergezocht is voor jullie vereniging en de manier waarop het de afgelopen jaren gegaan is.
Maar goed – de situatie is veranderd en ik heb het al een paar keer meegemaakt dat als er ergens “str…” aan de knikker is zo een beetje alles en iedereen onder een vergrootglas komt te liggen; gekoppeld aan de nodige rondjes zwarte pieten… niets menselijks is ons vreemd… toch?
😉