De nieuwe aanvullende wet op de GDPR/AVG, de zogenaamde ePrivacy-verordening, dreigt het mkb flink te raken. Dit stellen Nederland ICT, MKB Nederland, branchevereniging voor data en marketing DDMA en de Mediafederatie (voorheen het Nederland Uitgevers Verbond, NUV) in een brief die ze op hun eigen sites publiceren. Het kabinet heeft volgens deze partijen geen zicht op de gevolgen hiervan voor het midden- en kleinbedrijf.
‘Sinds 25 mei is de AVG van kracht. Ondertussen is er in Brussel alweer een aanvullende wet in de maak: de ePrivacy-verordening. Net als de AVG dreigen deze regels het mkb flink te raken. Het kabinet heeft hier vooralsnog geen oog voor en stuurt aan op meer snelheid in Brussel, in plaats van zorgvuldigheid en oog voor de gevolgen voor het mkb’, aldus de vier organisaties. Zij benadrukken in hun brief dat bij de toepassing van ePrivacy, bedoeld om de vertrouwelijkheid van digitale communicatie beter te beschermen, de juiste balans gevonden moet worden tussen het recht op privacy van burgers, de werking van de digitale economie en de mogelijkheden voor het Nederlandse bedrijfsleven om te innoveren.
Regeldruk
Volgens de vier brancheorganisaties komt het midden- en kleinbedrijf in gevaar door de wet. ‘In het beste geval leidt de verordening in al deze sectoren (van de digitale economie, red.) tot extra regeldruk. In het ergste geval kunnen producten en diensten niet meer worden aangeboden. Het ePrivacy-voorstel heeft in beide gevallen een negatieve impact op het mkb.’ Ze vervolgen: ‘De net ingevoerde AVG kent verschillende wettelijke grondslagen waarmee organisaties persoonsgegevens mogen verwerken. In het ePrivacy-voorstel mag er alleen nog persoonsdata worden verwerkt met toestemming van de gebruiker. Dit klinkt logisch, maar in de praktijk maakt dit het leven van zowel gebruikers als bedrijven een stuk ingewikkelder. Veel nieuwe technologieën maken gebruik van geaggregeerde data die niets meer te maken heeft met individuele bronnen. Denk aan kunstmatige intelligentie in de zorg of toepassingen voor crowd control.’ Ze voegen hieraan toe dat de huidige GDPR?AVG alternatieve mogelijkheden kent, terwijl de nieuwe wet die niet heeft.
Rol kabinet
Het kabinet moet volgens de partijen in kaart brengen wat de gevolgen van de nieuwe wet voor mkb- bedrijven zijn. ‘Dit, zodat het kabinet kan aansturen op regels die goed op elkaar aansluiten. Bij steeds complexer wordende digitale regelgeving, lijken vooralsnog alleen consultants en juristen gebaat.’ Daarnaast stellen de brancheorganisaties dat de huidige insteek van het kabinet botst met zijn eigen ambities. ‘In de onlangs uitgebrachte digitaliseringstrategie ambieert het kabinet om digitaal koploper van Europa te willen worden. Dit terwijl het kabinet tijdens de onderhandelingen over dit voorstel snelheid van Brusselse regelgeving verkiest boven kwaliteit. De negatieve impact op het Nederlandse bedrijfsleven en innovatie nemen ze voor lief. Op een bijeenkomst op 8 juni bespraken ministers van EU-lidstaten het ePrivacy-voorstel in Brussel. Tijdens deze bijeenkomst drong staatssecretaris Mona Keijzer van EZ merkwaardig genoeg aan op spoedige afronding van de onderhandelingen.’
Grondwetschending
Volgens de briefschrijvers komt zelfs de grondwet in gevaar. ‘Terwijl andere landen, zoals Duitsland en Frankrijk, onderzoek laten doen naar de gevolgen van de wet voor het eigen bedrijfsleven, duwt Nederland door met alle risico’s van dien. De overheid pleit zelfs actief voor een bepaling dat gebruikers niet de toegang tot een website of dienst mag worden ontzegd als deze geen toestemming geeft om persoonsgegevens te verwerken. Dit brengt niet alleen digitale verdienmodellen, innovatie en aanbod van gratis content verder in gevaar, maar schaadt ook het grondrecht van de vrijheid van ondernemerschap.’ Tot slot roepen de partijen Mona Keizer op om de EU tot ‘kalmte en zorgvuldigheid’ te manen in plaats van haast te maken.
Hoe de grote bedrijven de kleintjes klein houden. Door te lobbyen voor nog meer regeldruk. Ambtenaren vinden nog meer bureaucratie geweldig dus die gaan niet dwarsliggen. Die grote bedrijven kunnen die extra compliance wel bemensen en betalen terwijl de kleintjes het op de lange termijn afleggen en of opgekocht worden of failliet gaan.
Ach gut, het MKB schreeuwt weer moord en brand in plaats van de zaakjes op orde te brengen. Net zoals bij de AVG.
De concept-ePrivacy-verordening is alweer 1,5 jaar oud, inhoud en commentaren zijn genoegzaam bekend. Net zoals bij de AVG.
De concept-ePrivacy-verordening betreft slechts een update van reeds bestaande regelgeving op dat vlak. Net zoals bij de AVG.
De concept-ePrivacy-verordening gaat het hoofdzakelijk data-graaiers moelijker maken. Net zoals bij de AVG.
Het MKB is kennelijk nog bezig met ‘bewustwording’. Net zoals bij de AVG.
Interessant stuk!
@ P.J. … ik denk dat Johan de spijker op zijn kop slaat; de investering die het MKB (of wat te denken van zelfstandige ondernemers) is verhoudingsgewijs veel groter dan de investering die grote ondernemingen moeten doen om te voldoen aan deze wetgevingen.
(dito voor het verenigingsleven, welke met vrijwilligers moet zien te voldoen aan wetgevingen als de AVG)
@Pa : nou, die ‘investering’ valt – net zoals bij de AVG – héél erg mee hoor. En net zoals bij de AVG wordt ook hier van alles aan de haren erbij gesleept, tot aan schending van grondrechten aan toe. Het moet niet gekker worden. Niet-handsfree bellen is immers óók in strijd met de grondwet. Toch?
Ja, ons MKB zit vast heel diep in de ‘geaggregeerde data’, ‘kunstmatige intelligentie’ en ‘crowd control’. Over wifi-tracking gek genoeg geen woord.
De klant wil geen radertje zijn in het verkoopproces van hijgerige ondermers en zal weinig medelijden hebben met deze krokodilletranen.
In plaats van “consultants en juristen” bij voorbaat de schuld te geven kan het MKB zich beter eens een beetje verdiepen in de materie, zo ingewikkeld is die niet en bovendien gratis te vinden op het Internet.
Dergelijke basiskennis is bovendien nodig om te bepalen of men überhaupt wel “consultants en juristen” nodig heeft, en om voor dat geval de eigen rol van opdrachtgever te kunnen invullen. Kwestie van een paar uurtjes inlezen. Tip : AVG en ePrivacy-richtlijn vullen elkaar aan.
Alternatief is natuurlijk om ook dit keer weer in een duur ‘seminar’ gaan zitten voor een ‘stukje bewustwording’ en je daarna geld uit je zak laten kloppen door cowboys. Eigen-schuld-dikke-bult.
De échte ondernemer – die met een eigen zaak – weet wel wat hem/haar te doen staat.
Uiteraard is voor ieder commentaar wat te zeggen maar het wordt wel te algemeen en komt een beetje in de buurt van klaagzang en verwijten. Ja, de AVG privacywetgeving omvat wetten en regels die zeker impact hebben op het MKB. De soep wordt echter niet zo heet gegeten zoals deze wordt gepresenteerd (opgediend). Als het bewustzijn bij het MKB management wordt “ingevlochten” waarbij overal meetbare kleine stapjes worden gemaakt (KaiZen methode), dan gaat dit prima en valt alles reuze mee. Een bijproduct van een goede AVG Scan (waar staan we nu) geeft ook nog eens andere risico’s aan (behalve de grootste kans op lekken). Bijvoorbeeld: sommige organisaties bouwen of gebruiken (hosted) applicaties die een risico vormen, o.a. financieel, schaalbaarheid, functionele uitbreidingen, gebruikersgemak en integriteit van data. Een pragmatische aanpak met onderhoud lijkt de goede richting.
PaVaKe, wij maken praktische leermodules voor medewerkers bij bedrijven over AVG.
AVG juist voor MKB stelt helemaal niet zoveel voor en vind ik juist goed een leerzaam voor het MKB.
Denk dat de kosten voor AVG compliancy voor grotere bedrijven veel hoger is in verhouding en hun harder raakt dan MKB. De pakkans is overigens ook nihil en je moet het wel erg bont maken om geraakt te worden.
Een tip: zet geen jurist in voor AVG. Die maken het veel te moeilijk en willen ieder risico afdekken.
Maak een helder privacy statement. Zeg wat je opslaat en waarom en met wie je het deelt. Met die laatste partijen stel je een (sjabloon) verwerkersovereenkomst op. Alles wat je meer opslaat dan nodig heb je veelal toestemming nodig, vraag die dan ook en je moet wat doen met minderjarigen als dat relevant is.
Belangrijkste is dat je transparant bent en aan kunt tonen dat je het goed wilt doen. Geen AP gaat je hard straffen als je een goede uitleg hebt en het beter doet dan het gemiddelde.
Dan als laatste: Kijk eens kritisch naar je operatie. Kunnen door onwetendheid of onhandigheid mogelijk data gelekt worden? Neem daar dan wat gepaste maatregelen om het risico te verkleinen.
Dat zijn mijn twee centen.
Tja, al we het in de risicomanagement-sfeer gaan trekken dan wordt de zaak al helemaal simpel.
Om te beginnen doet het middenbedrijf – laat staan het kleinbedrijf – weinig tot niets met risicomanagement.
Daarnaast zijn AVG en ePrivacy-richtlijn slechts één van de vele business risks waarmee het MKB te maken heeft.
Daarbij zijn ‘Probability’, ‘Impact’ en ‘Proximity’ van dien aard dat de ‘Expected Value’ dusdanig is dat voor het merendeel van het MKB geldt dat afwachten van een ‘last onder dwangsom’ zijdens de AP economisch het voordeligst is. En ‘Retention’ dus de voor hand liggende ‘Threat Response’.
Reden temeer vraagtekens te plaatsen bij de plotselinge druktemakerij van Nederland ICT, MKB Nederland, DDMA en de Mediafederatie.
Dat dit kabinet meer oog heeft voor de belangen van Anglo-Amerikaanse multinationals dan het MKB is een terechte klacht, de regeldruk werkt concurrentievervalsend zoals Johan al terecht stelt in zijn reactie. Anderzijds dient het MKB ook meer oog te hebben voor de globalisering die Internet bracht want de consument winkelt hierdoor even makkelijk over grens, de regelgeving in de Europese markt is echter allesbehalve eenvoudig want vaak zijn er de plaatselijke vertalingen. Ik zal hier niet in gaan op Het verschil tussen een ‘enterprise’ en een multinational maar Henri gaat iets te kort door de bocht. Er zijn namelijk nog veel losse eindjes met als gevolg dat regels uiteindelijk weer aangepast moeten worden met de welbekende herstelwetten door het voortschrijdende inzicht.
De klacht is dus gegrond alleen heeft het weinig zin om je te gaan verzetten tegen de wind die nu vanuit Brussel waait. Let wel, ik zie Brussel niet als medicijn maar als kwaal want eerder hebben ze naar aanleiding van 9-11 onze privacy verkwanseld. Want 9 van de 10 burgers zal namelijk zijn privacy inruilen voor de schijnveiligheid die politici beloven wat Europese circus zo lachwekkend maakt. Oja, ik blijf dus het MKB met anonieme loyaliteitssysteem van zegeltjes sparen trouw zoals ik trouw blijf aan de Nederlandse wapenspreuk.
Oja, wetgeving loopt altijd achter op de praktijk die buiten de Haagse stolp weerbarstiger is dan kamerleden denken. Ik heb begrip voor de reacties maar ook voor klachten vanuit het veld want ik ken geen wet die het vrije ondernemerschap regelt als ik kijk naar de verschillende rechtspersonen binnen Nederlandse wetgeving. Ik wijk nu af van de context over privacy maar het BTW-nummer van veel ondernemers is gelijk aan het BSN-nummer. Zoals gezegd zijn er dus nog veel ‘losse eindjes’ in de privacy die MKB op achterstand zetten. Zo is het heel opmerkelijk dat ‘lessons learned’ van een faillissement – insolventieregister/handelsregister – in Nederland voor negatieve waardering zorgen en in Amerika voor een positieve. Oja, het hele balletje over de privacy begon te rollen toen iemand in Spanje hier bezwaar tegen maakte.
@Henri: zoals jij het beschrijft is ongeveer ook hoe we het als sportvereniging aangevlogen hebben. De extra uitdaging die we daar hebben is dat zo’n vereniging op vrijwilligers draait, waardoor er geen IT beheerder is om dingen te beheren, controleren en/of corrigeren.
Bewustwording, transparantie en aantonen dat we doen wat redelijkerwijs mogelijk is, is de aanpak die wij gekozen hebben