Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mkb wil uitzonderingspositie voor privacywet vanwege onduidelijkheid

Ondernemers worstelen nog altijd om te voldoen aan de privacywet. Belangenorganisaties willen daarom dat de wet wordt bijgewerkt zodat er uitzonderingsregels voor het midden- en kleinbedrijf komen. Dat schrijven MKB Nederland en VNO-NCW in een brief aan de Tweede Kamer.

Volgens de belangenorganisaties zijn er een jaar na de invoering van de privacywet nog veel ondernemers die niet weten hoe zij met de wet om moeten gaan. Werkgevers worstelen nog te veel met de complexiteit van de wet, de vage normen daarin en de uitleg die de Autoriteit Persoonsgegevens daaraan geeft.

De belangenorganisaties vinden de regels niet alleen te complex, maar in sommige gevallen ook in strijd met de veiligheid. Het is bijvoorbeeld niet mogelijk om een nationaal frauderegister op te zetten, een wens die het mkb al langer heeft. De privacywet zou dat niet toestaan. "Het kan niet zo zijn dat fraudeurs en andere criminelen worden beschermd door privacywetgeving terwijl burgers en bedrijven de dupe zijn", schrijven de organisaties. Ook in andere situaties is de privacywet volgens de organisaties een belemmering, zoals bij het houden van drugs- en alcoholcontroles op de werkvloer.

MKB Nederland en VNO-NCW willen daarom dat er een uitzonderingsregel in de wet wordt opgenomen voor mkb'ers. Er moet 'een veel stevigere uitzonderingspositie komen' voor bedrijven 'die alleen doorsnee dingen met gegevens doen', zeggen de organisaties. Onder de Wet Bescherming Persoonsgegevens, de voorloper van de AVG, was zo'n uitzonderingspositie er al. Het ging dan om bedrijven die bijvoorbeeld alleen een salarisadministratie bijhielden van werknemers.

MKB Nederland en VNO-NCW hebben donderdag een brief naar de Tweede Kamer gestuurd waarin zij om die maatregelen vragen. Ze hopen dat die worden doorgevoerd nadat er in 2020 een tussentijdse evaluatie van de wet is geweest. Omdat de AVG een Europese verordening is kan de overheid daar uit zichzelf niets aan veranderen; de Autoriteit Persoonsgegevens heeft daar wel mogelijkheden voor.

Door Tijs Hofmans

Redacteur privacy & security

23-05-2019 • 16:52

121 Linkedin Google+

Reacties (121)

Wijzig sortering
Zo ingewikkeld is het nou allemaal ook niet, daarnaast is er een mooie regelhulp online die voor het grote gedeelte van de bedrijven voldoende hulp geeft om een begin te maken: https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom

Een uitzondering hoe dan ook lijkt mij sowieso een slechte zaak, die regels m.b.t. privacy zijn er niet voor niks. En als je als bedrijf deze regels niet op orde kan (of wil) hebben dan moet je je maar eens afvragen of je nog wel zaken met zo'n bedrijf wil doen.
Schijnbaar is het toch ingewikkelder als je denkt en als ik de voorbeelden frauderegister dat niet kan zijn er zeker zaken die misschien te strak geregeld zijn.
Juist dat soort registers dienen moeilijk op te zetten te zijn. De gevolgen van zo'n register zijn namelijk erg groot dus hoort daar ook een evenredige mate van zorgvuldigheid bij. Dit soort registers horen niet bij particuliere partijen als het MKB, die horen eerder onder een orgaan dat onder de overheid valt (zoals onze waakhonden e.d.). Voordeel daarvan is dat je dan ook een register hebt die niet door een beperkt clubje bedrijven wordt gebruikt en je dus echt iets tegen fraudeurs kunt doen.

Let trouwens wel op, wat je hier van het MKB hoort is maar 1 zijde van het verhaal!
Juist het feit dat men aangeeft dat de regels van AVG moeilijk zijn en het niet altijd duidelijk is en dat van een MKBer dat niet verwacht zou moeten worden geeft me alle reden om juist bij het MKB dus niet zo'n register te willen.
Want als men zo'n probleem heeft met het omgaan met persoonsgegevens, waarom zou een 'frauderegister' hier dan wel toevertrouwd zijn.
Precies dat... Buiten het feit dat de AVG-regels echt niet zo spectaculair moeilijk zijn (hoewel we bij ingang op 25 mei zagen dat iedereen er moeite mee had. Om maar een voorbeeld te noemen: Al die organisaties die besloten in de week van 25 mei naar hun database te mailen dat zij data van die persoon zorgvuldig gingen behandelen en een hernieuwde opt-in vroegen of juist aan mensen die geen opt-in hadden als nog een opt-in voor e-mail opvragen (wat effectief dus strafbaar was, commerciele boodschap naar iemand zonder opt-in)). Lijkt het me niet verstandig dat een clubje van de bakkers op de hoek en de beunhaas met een webshop nu opeens samen een "fraude-register" gaan opzetten.

Voor je het weet kom je om wat voor reden op zo een lijst, omdat iemand jouw adres/credit card oid heeft gebruikt om fraude mee te plegen. Prettige wedstrijd om dan weer van zo'n lijst af te komen. Echt niet dat zo'n club dan daar goed mee omgaat. Anderzijds idd het feit, moet je wel in zee willen gaan met zulke figuren?
Arnout Engelfriet had recent een voorbeeld bij de hand op Security.nl waar vermoedelijk het MKB redelijk nat op gaat.

Vraag: Het is niet ongebruikelijk om emails door te sturen ("forwarden") naar derden. Elk e-mailprogramma biedt die mogelijkheid. Maar die derden ontvangen dan ook het e-mailadres van de oorspronkelijke verstuurder van de email zonder dat ik hem of haar toestemming heb gevraagd om de email te forwarden. Schend ik daarmee de AVG?
Antwoord: Als je in een mail dus andermans afzenderinformatie laat staan, dan zeg je dus, beste ander jij moet weten dat Pietje opsteller is van onderstaande. En dat moet je dan onderbouwen met de juiste grondslag.
<snip>
In een incidenteel geval, bij particulieren maar ook zakelijk, kun je denk ik ook wel zeggen, deze forward valt buiten de AVG omdat het slechts huishoudelijk verwerken is. Dan gaat het om een informele kattebel die je even doorzet. Als het forwarden hoort bij een werkproces, dan geldt deze uitzondering niet.


https://www.security.nl/p...eenstemming+met+de+AVG%3F

Een MKB-er wil nadenken over z'n klanten, over het straatje dat 'ie moet gaan leggen en eventueel over de nieuwe bus die hij straks wil aanschaffen - niet of de e-mail met het ontwerp van de klant dat hij doorstuurt naar de stenenboer al dan niet de privacy van zijn klant zal schaden...

[Reactie gewijzigd door Tukkertje-RaH op 24 mei 2019 10:13]

Een MKB-er wil nadenken over z'n klanten, over het straatje dat 'ie moet gaan leggen en eventueel over de nieuwe bus die hij straks wil aanschaffen - niet of de e-mail met het ontwerp van de klant dat hij doorstuurt naar de stenenboer al dan niet de privacy van zijn klant zal schaden...
Ik denk dat de AP wel wat beters te doen heeft dan jan-de-hovenier aan te spreken op jouw gegeven voorbeeld en zelfs als ze dat wel doen dan is het maar de vraag of de rechter op grond van redelijkheid, zo'n boete of andere maatregel wel in stand zou laten. juist omdat het hier niet om 'verwerken' gaat maar eerder om 'gebruiken in de zin van eigenlijke bedrijfsvoering' pas wanneer je dat mailadres opslaat in een excelbestand, of andersoortige database met als doel 'latere communicatie' kan er echt sprake zijn van verwerking.

Bovendien zijn dit niet de gronden waarop men die uitzondering wil, maar slechts het voorwendsel. het is altijd goed om een voorwendsel te gebruiken naast je eigenlijke motief. het is onduidelijk, en owja bijna vergeten, nu kan ik ook niet doen wat ik ECHT wil.

Frauderegisters, men kan al niet eens fatsoenlijk omgaan met een instituut als BKR (waar regelmatig grote fouten worden gemaakt). maar goed een fraude register is prima in te stellen.

A: Als de melder een wettelijk vastgelegde boete aan de beklaagde moet betalen wanneer hij zijn claim niet of onvoldoende kan bewijzen.
B: Als er voortaan ook een boete staat op het 'niet op tijd' leveren van goederen zonder eerst de nodige ingebrekestelling dus: voor 10:00 besteld morgen in huis == morgen in huis, of anders boete a 2,5% van de verkoopwaarde per dag dat de zending te laat komt immers het zijn de verkopers zelf die de 'overeenkomsten opstellen' en dus de regels bepalen, onderhandelen is er voor consumenten totaal niet bij, laat verkopers dan ook maar gedwongen zijn zich aan hun eigen-bedachte regels te houden.
De gevolgen van zo'n register zijn namelijk erg groot dus hoort daar ook een evenredige mate van zorgvuldigheid bij. Dit soort registers horen niet bij particuliere partijen als het MKB, die horen eerder onder een orgaan dat onder de overheid valt (zoals onze waakhonden e.d.).
Het BKR is ook maar gewoon een non-profit organisatie uiteindelijk en daar worden gewoon keihard krediet aanvragen getoetst.
Het is een kwestie van inkaderen onder welke voorwaarden zo'n register mag bestaan.
De voorbeelden die het MKB geeft houden ook geen stand met de eerdere wetgeving.

Ze houden drugscontroles onder personeel. Die blijken wettelijk alleen maar door politie en andere handhavende instanties uitgevoerd te mogen worden. En wat betreft wel of niet werken ook alleen voor een aantal beroepen.

Ze willen ongevraagd persoonsgegevens verzamelen en delen over verdachten zonder dat ze daar bevoegd toe zijn, wat ook jaren geleden ook al niet was toegestaan.

Het probleem is dus niet de AVG of de ingewikkeldheid. Het probleem is een verschil van mening met de wetgever over wat ze wel en niet mogen en nu extra geconfronteerd worden dat sommige zaken gewoon niet mochten en mogen.
Het wordt in sommige gevallen toch wel een beetje een apart verhaal.

Zo zijn er bedrijven waar wel degelijk sprake is van drugsgebruik of andere wantoestanden, wat in pakweg een staalfabriek of raffinaderij levensgevaarlijke situaties oplevert, zowel voor de omgeving als voor de werknemers.

De werkgever mag niet zomaar controleren op drugs of drankgebruik. Tegelijkertijd is de werkgever wél verantwoordelijk als er wat mis gaat…
De rechter gaat hier dan gelukkig ook heel soepel mee om.

Ik heb zelf op meerdere fabrieken gewerkt waar een alcoholtester aanwezig was, en bij een vermoeden dat er alcohol in het spel was werd er vriendelijk gevraagd je wilde blazen. Dit mocht je weigeren, maar dat hield wel in dat je per onmiddellijk van het terrein werd afgezet.

En dat is wettelijk allemaal prima in orde, en ik ben daar groot voorstander van, ik heb gewerkt met ovens van 2200 graden die 7 verdiepingen hoog waren, en veiligheid gaat mij op dat moment even boven dat stukje specifieke privacy.
de arbowet geeft overigens dergelijke rechten aan werkgevers als aannemelijk kan worden gemaakt dat het in het belang is van veiligheid van zelf of andere werknemers mag een werkgever personen van het werkterrein weren. er staat dan een rechtsgang open voor de werknemer om eventueel loondoorbetaling te vorderen. maar ik schat de kans klein dat een rechter snel in zijn voordeel zal beslissen als er een vrijwillige test is geweigerd en geen alternatief is aangedragen.
De werkgever was voorheen vaak ook al verantwoordelijk voor medewerkers of de gevolgen van het handelen van medewerkers. En toen kon je ook je medewerkers niet zomaar ontslaan of controleren op drank en drugs. Daar tegenover staat dat werkgevers enorme winsten kunnen maken zonder dat ze dat hoeven uit te keren aan hun werknemers.

Er zijn vaak alternatieven die de privacy niet schenden, maar dat kost het MKB meer moeite en winst. Het is geen kwetstie van privacy versus veiligheid. Het gaat er om wat het MKB zo veel mogelijk winst levert tegen zo laag mogelijke kosten en zo min mogelijk risico op kosten.

edit:
Er valt moeilijk te ontkennen dat bedrijven tot doel hebben om winst te maken en dus zo min mogelijk kosten. Ik doe niets af aan de motivatie voor veiligheid, maar we moeten niet net doen alsof het plan om privacy minder belangrijk te vinden alleen maar gedreven is uit veiligheid zoals het MKB graag doet geloven in de voorbeelden. Het geklaag dat privacy in de weg zou zitten heeft meerdere kanten en dat lijkt me volstrekt ontopic als de klacht is dat het MKB het moeilijk zou hebben door verantwoordelijkheden.

[Reactie gewijzigd door kodak op 23 mei 2019 22:45]

Klopt helemaal, en kan als bedrijfsarts melden dat het niet zo simpel is als hier wordt gesteld.
Daarnaast is de privacy compleet door gedraaid.
Hierdoor durven artsen hun cliënten niet meer te mailen. Wordt ook verboden door de beroepsverenigingen.
En scholen durven geen klassenfoto's meer te maken.
P.S.
Iemand die werkt bij hoogovens werkt valt niet onder het MKB.
Vind wel dat er controle en beroep mogelijk moet zijn.
Maar dat hotels geen lijst van oplichters zou mogen maken is absurd.
Want waarom mag de politie dan wel een app maken om spijtoptanten te vangen.
Ik heb toch een naar gevoel bij fraude-register. Het lijkt zo handig dat je fraudeurs registreert, maar hoe zit dat dan met "wat" er geregistreerd wordt. Alleen naam, of adres lijkt me niet voldoende. [Je zal maar J.(an) Jansen uit Amsterdam(-Zuid) zijn en totaal geen familie van J.(oost) Jansen uit Amsterdam(-Bijlmer)]. Met een BSN vang je dat wel af, maar wil je dat bij iedere web-shop moeten invullen?

Hoe kan je zien dat dat je geregistreerd bent. En hoe kan je dat aangepast krijgen als het ten onrechte is. Een fraude-register heeft, terecht, nogal wat wettelijke haken en ogen voor je het mag maken.
Het kan niet zo zijn dat iemand door een private partij buiten de rechtelijke macht om wordt bestempeld als fraudeur en dan bij geen enkele mkb-er meer boodschappen kan doen.

Als je kijkt naar de vele mkb websites waar niet eens https wordt afgedwongen. Ook niet voor contact formulieren. En dat sommigen dat combineren met het in een cookie opslaan van het wachtwoord en BSN-nummer. Welke dan in plain text onversleuteld over het internet wordt gegooid.

Dus tja.. MKB mag zelf eerst orde op zaken stellen voordat ze überhaupt volwassen genoeg zijn in IT en privacy om fraude te kunnen bestrijden; als je de connectie en data van je legitime klanten niet beschermd, blijft het dweilen met de kraan open. Data gehaald bij de ene MKB-er wordt dan misbruikt bij de andere. Fraudeurs zullen zelden hun eigen gegevens gebruiken.

[Reactie gewijzigd door djwice op 23 mei 2019 18:18]

Dus omdat sommige mkb sites geen https gebruiken scheer je meteen alles over 1 kam. Lekker kort door de bocht is dat.

Helaas is het zo dat ook de privacy wel wel veroordeelde criminelen belangrijker is dan die van ondernemers.
In het geval van fraude, winkeldiefstal komt dit vaak niet eens voor de rechter maar betaal je een boete waarmee je het afkoopt.

Zoek maar eens op hoeveel er per jaar gejat wordt in winkels en supermarkten. Wie denk je dat dat uiteindelijk moet betalen. jij en ik want het zit nu ook in de prijzen.
Ok geef maar 10 MKB sites die op ssllabs en op Mozilla Observatory een A+ score halen.

Het is makkelijk er 10 te vinden die een F bij Mozilla en B of lager bij SSLLabs scoren.

Ondanks dat ze online data verwerken.


Volgens mij ging het hier om een fraude register, niet om winkeldiefstal. Bovendien als iemand veroordeeld is krijgt hij straf, we hebben in Nederland met elkaar afgesproken dat daarmee de kous af is.

[Reactie gewijzigd door djwice op 24 mei 2019 09:53]

Het kan niet zo zijn dat iemand door een private partij buiten de rechtelijke macht om wordt bestempeld als fraudeur en dan bij geen enkele mkb-er meer boodschappen kan doen.
Dus draaideur-criminelen moeten vrij spel hebben volgens jou, zolang ze maar elke keer een nieuw slachtoffer zoeken...
Want de rechterlijke macht kan niet zeggen : U heeft 20 slagers bestolen, u bent niet meer gewenst bij een slager...
Als je kijkt naar de vele mkb websites waar niet eens https wordt afgedwongen. Ook niet voor contact formulieren. En dat sommigen dat combineren met het in een cookie opslaan van het wachtwoord en BSN-nummer. Welke dan in plain text onversleuteld over het internet wordt gegooid.

Dus tja.. MKB mag zelf eerst orde op zaken stellen voordat ze überhaupt volwassen genoeg zijn in IT en privacy om fraude te kunnen bestrijden; als je de connectie en data van je legitime klanten niet beschermd, blijft het dweilen met de kraan open. Data gehaald bij de ene MKB-er wordt dan misbruikt bij de andere.
Dit is een separaat en veel groter probleem wat niet MKB aan te merken valt, dit valt de hele maatschappij aan te rekenen...
Ik zou zeggen als de EU een AVG wil, verbied dan een Wordpress etc om binnen de EU een versie ter download aan te bieden waar je een contact formulier op http kan draaien.
[...]

Dus draaideur-criminelen moeten vrij spel hebben volgens jou, zolang ze maar elke keer een nieuw slachtoffer zoeken...
Want de rechterlijke macht kan niet zeggen : U heeft 20 slagers bestolen, u bent niet meer gewenst bij een slager...
Het is niet aan een private partij om te bepalen of en wanneer en voor hoe lang iemand als crimineel wordt bestempeld.
Slagers kunnen bij de rechter een verzoek voor omgevingsverbod indienen om bepaalde personen waarvan de rechter bepaald heeft dat ze 20 keer slagers hebben berooft niet in de buurt van een slager te laten komen.
Over het algemeen krijgen mensen die 20 keer het zelfde vergrijp hebben gepleegd sneller de maximale straf.
Ik zou zeggen als de EU een AVG wil, verbied dan een Wordpress etc om binnen de EU een versie ter download aan te bieden waar je een contact formulier op http kan draaien.
Wordpress heeft hier niets mee te maken, dit is iets dat je in je nginx of Apache http server configureerd.

Je kunt hiervoor overal voorbeelden vinden, en ook hoe je de verbinding dat goed beveiligd, bijvoorbeeld hier https://mozilla.github.io...e&hsts=yes&profile=modern

Alles alleen onder https serveren en alleen op het root path / http een permanent move naar https. Geen parameters of cookies accepteren onder http, dus ook niet in de forward.
[...]
Slagers kunnen bij de rechter een verzoek voor omgevingsverbod indienen om bepaalde personen waarvan de rechter bepaald heeft dat ze 20 keer slagers hebben berooft niet in de buurt van een slager te laten komen.
Nope, dat is kansloos vanwege het volume en de kosten.
Zwarte lijsten bestaan simpelweg overal
Over het algemeen krijgen mensen die 20 keer het zelfde vergrijp hebben gepleegd sneller de maximale straf.
Daardoor bestaat ook de hele term draaideurcrimineel niet...
[...]
Wordpress heeft hier niets mee te maken, dit is iets dat je in je nginx of Apache http server configureerd.
Dit is juist wel aan wordpress, die kan het detecteren en afdwingen. Voor een nginx en apache zijn er honderden legitieme redenen te verzinnen om die niet op https te hebben draaien, bijv inhouse applicaties etc etc etc.
Alleen een wordpress is bijna altijd publiekelijk bedoeld.

Jij bekijkt het puur technisch, maar daar ga je geen stap verder mee komen. Je moet kijken naar waar men bewust mee bezig is, en dat is een wordpress installatie, niet een nginx of een apache installatie.

Plus dat een nginx en een apache heel moeilijk selectief https kunnen instellen per app, terwijl elke app het kan afvragen en daarmee afdwingen.
Waarom zou je voor een interne app geen https gebruiken? Snap ik niet, ook op je interne netwerk kunnen verkeerde gasten komen, dus wel zo handig als niet alles open staat. En als je alles op dezelfde manier veilig doet, is de kans op een foutje kleiner.

Je geeft de kern van het probleem aan; iets doen wat kennis vereist zonder die kennis in te brengen; omdat het kan.
Je kunt ook zelf je gasleidingen en ketel installeren, en je water via een tuinslang aansluiten, omdat het kan...
En wat verstaan zij onder fraude? Een veroordeling? Of iets waarvan zij vinden dat het fraude was?

Of willen ze gewoon mensen volgen? Met telefoons en andere zaken. En dan data verkopen.
Daarbij de inhoudelijke normen, c.q. basisprincipes, zijn onder de AVG nauwelijks veranderd t.o.v. de voorganger (de Wbp) en die gold al sinds 2001... Dus volgens mij heeft het mkb tijd zat gehad.
En volgens mij hebben ze nu 3 jaar de tijd gehad om het op orde te krijgen O-)
De AVG zoals hij er nu ligt is inderdaad een administratief gedrocht, waar veel mensen zelfs professionals niet weten wat hij nu exact inhoud.

Hij werkt voor de kleine ondernemer ontzettend belemmerend, kost zeer veel administratie en werkt ook nog eens omzetverlagend.

De hele AVG is zijn doel voorbij geschoten. In een poging de grote jongens als Facebook en Google te stoppen, heeft Europa de kleine ondernemer met een groot probleem opgezadeld.

Simpel voorbeeld uit mijn praktijk: Schoolfoto's
Vroeger kreeg de ouder een melding dat de schoolfotograaf kwam, en werden foto's gemaakt, en konden de ouders de foto's kopen. Als je goed was en leuke foto's maakte verkocht je goed, en anders niet.

Nu moet je van ouders vooraf schriftelijk toestemming hebben om de foto's te maken, je raakt in een klap 50% van je potentiële klanten kwijt omdat een groot deel het vergeet, en een deel op voorhand al besluit dat ze ze toch niet willen. Je krijgt dus niet eens de kans om de mensen met leuke foto's te overtuigen.

En dan hebben we het nog niet over de administratie, en hele handleiding die je moet schrijven over welke gegevens van wie je hoe lang bewaard en hoe je ze beveiligd hebt.
De AVG is geen administratief gedrocht, en legt dat bedrijven ook niet op. De AVG zorgt ervoor dat je
a) goed nadenkt hoe om te gaan met persoonsgegevens (lijkt me verstandig), b) toepasselijke maatregelen treft bij de verwerking van die persoonsgegevens (lijkt me ook verstandig)
c) privépersonen de kans geeft bij het bedrijf op te vragen of, en welke gegevens ze van jou hebben opgeslagen (nogmaals, ook dit lijkt me verstandig)
d) een register bijhoudt welke persoonsgegevens er worden verwerkt

De AVG zegt niets over hoe die technische maatrgelen eruit zien, nog welk papierwerk er vereist is. Sterker nog, de AVG is juist flexibel hierin opgesteld om bedrijven het niet onnodig complex te maken. De getroffen maatregelen door een bedrijf moeten in proportie worden gezien. Dat wil zeggen dat een kleine MKB'er niet dezelfde maatregelen hoeft te treffen als een Amazon. Het moet in verhouding staan.

De AVG is vooral een wet die bewustzijn creëert bij bedrijven die persoonsgegevens verwerken. En dit is alleen maar toe te juichen. De klacht van het MKB lijkt vooral voort te komen uit onwetendheid en onwil.
Ja en die flexibiliteit precies dit is waarom het voor een MKB'er moeilijk word.

Het zonder specifieke kennis opzetten van de benodigde spullen voor de AVG is nog best lastig. Vooral doordat er echt een consistente meting mist, het is niet als fysieke beveiliging wat iedereen nog wel kan begrijpen.
Ja en die flexibiliteit precies dit is waarom het voor een MKB'er moeilijk word.
De enige reden waarom het voor het MKB moeilijk is komt doordat ze de zaken niet op orde hebben. Ik werk zelf ook bij zo'n bedrijf dat onder MKB valt. We moesten naast de GDPR ook voldoen aan andere eisen omdat we zo'n mooi certificaat wilde behalen (klanten begonnen daar stilletjes aan al om te vragen, dit was dan ook een vooruitziende blik). Die GDPR was appeltje-eitje vergeleken met wat we allemaal moesten doen voor dat certificaat. Wat we wel hebben gemerkt is dat er veel overlap zit met wat we al deden, wetgeving en wat de diverse certificeringen vereisten. Als je een bepaalde maatregel doorvoert is de kans groot dat je die dan meteen op diverse lijstjes (certificeringen) tegelijk af kunt vinken.

Overigens is het bij veel certificeringen die Deming cyclus van belang en hoor je wel vaker dingen als "de zelflerende organisatie". Dat betekent dat je steeds weer opnieuw je procedures e.d. tegen het licht houdt en waar nodig aanpast. De markt en de rest van de wereld staan immers niet stil, dan moet je dat als bedrijf ook niet doen. Die flexibiliteit van de wet sluit hier dan ook netjes op aan ;)
Het zonder specifieke kennis opzetten van de benodigde spullen voor de AVG is nog best lastig.
Dat is ook de reden waarom we de GDPR hebben. Er werd maar wat aangekloot en niemand had een drempel om zich wel van kennis van zaken te voorzien. Het feit dat veruit de meesten niet eens weten dat de GDPR al 2 jaar in werking was vóór 25 mei 2018 en in blinde paniek ineens aan de slag gingen zegt ook al genoeg. Als je wacht tot het 5 voor 12 is dan ben je gewoon te laat. Bovendien had dit al standaard je werkwijze moeten zijn, sinds de oprichting van de toko.

Met name het ontbreken van een drempel is de reden waarom er nu veel bedrijven zijn die heel snel klaar zijn. Ze hebben jarenlang allerlei gegevens verzameld (als je ergens klant wilde worden moest je daar bijna je hele hebben en houden invullen) totdat het niet mocht en ze ineens na moesten denken over wat ze doen met de data en welke data ze daar nou precies voor nodig hebben. Blijkt ineens een mailadres of gebruikersnaam icm een wachtwoord voldoende. En hoppa, ze voldoen door die reductie ook ineens aan de GDPR. Dat verhaal heb ik inmiddels van diverse bedrijven gehoord. Daaruit blijkt hoe noodzakelijk het hebben van drempels is en hoe weinig kritisch er door bedrijven (waaronder het MKB) wordt gekeken naar wat ze doen en waarom. Dan moet je je gaan afvragen wat er nog meer niet goed is aan procedures e.d. bij zo'n bedrijf. En weet je ook meteen hoe noodzakelijk iets als de GDPR is en het MKB dus absoluut geen uitzonderingspositie mag krijgen!

Een ander ongekend voordeel is het kunnen afschieten van huidige contracten. Als je een contract hebt waar je niet zo blij mee bent dan is een wetswijziging zoals de GDPR ineens een heel mooi cadeau. Je hebt daarmee een middel om het contract open te breken. Kan men of wil men niet voldoen aan de GDPR? Prima, dan mag het contract wettelijk niet en moet je naar een ander toe.

Ik zie liever dat men meer hulp krijgt dan een uitzonderingspositie. Een uitzonderingspositie neemt de drempel weg met als gevolg dat je over 5 jaar exact hetzelfde probleem hebt als nu. Men gaat pas wat doen als ze voor het blok zijn gezet.
Eens dat een (of meerdere) certificeringen helderheid kan bieden in het proces. Het mooie aan de markt is dat na vraag er aanbod komt - er zijn al tig bedrijven die je kunnen helpen met de AVG. Mensen willen er gewoon niet voor moeten betalen of nog erger - moeite doen! En dan vragen we ons af waarom het zo slecht staat met onze privacy.
De flexibiliteit die het MKB zich in het verleden zelf heeft aangemeten is waar ze last van hebben.

Het MKB is erg goed in flexibiliteit in het eigen voordeel te zien als dat zo uitkomt maar er een probleem van te maken als het ze tegen zit. Als ze de flexilibiteit als een voordeel kunnen zien om te ondernemen moeten ze ook met de flexibiliteit van de AVG in hun voordeel om kunnen gaan.

Bijna iedereen kan ondernemer worden zonder enige inhoudelijke kennis van de bijkomende wetgeving. Dan gaan klagen dat ze de juiste kennis niet hebben of kunnen vinden en dat het aan de wetgeving ligt is nogal makkelijk. Boekhouden en aan de belastingregels voldoen is ook niet makkelijk en kent ook de nodige flexibiliteit. Daar hebben ondernemers ook kans gezien en er een markt van gemaakt.

Het MKB dat nu klaagt lijkt vergeten dat ze ondernemers zijn en de nieuwe omstandigheden in flexibiliteit ook vragen om aanpassing in ondernemersschap om er meer winst van te maken. Ze lijken te blijven plakken in het verleden en weigeren de kansen te grijpen. Die vorm van ondernemen is meestal niet lang houdbaar. De omgeving van het MKB was de houding van het MKB om flexibel met andermans persoonsgegevens om te gaan zat en vraagt niet meer om verandering maar is die op gaan leggen. De flexibiliteit is te veel gebruikt en dat werkt nu tegen het MKB zolang ze zich niet aanpassen.

[Reactie gewijzigd door kodak op 23 mei 2019 23:45]

te vroeg op enter gedrukt

[Reactie gewijzigd door Het.Draakje op 23 mei 2019 19:58]

Je bedoeld: Vroeger kwam er een fotograaf naar de school toe en nam zomaar foto's van je kind zonder dat er een ouder toestemming voor had gegeven en zelfs als jij geen foto's had gekocht had de fotograaf ze wel in bezit en behandelde ze alsof die foto's zijn eigendom waren...

Nah... geef mij de AVG maar.
Mild overtrokken reactie, misschien gekoppeld aan je leeftijd. Het hele privacyprobleem is namelijk pas ontstaan met de opkomst van de huidige techreuzen, social media en de wens om alles aan elkaar te knopen.

Pak em beet 30 jaar geleden had je een of andere dorpsfotograaf die in een doka fotootjes stond te ontwikkelen. Daardoor was de distributie van dit soort materiaal sowieso al beperkt en had je ook geen discussies over 'eigendom' en anonimiteit.

Dat het nu wel noodzakelijk is, is een heel ander verhaal.
Als er geen wetgeving was wil dat niet zeggen dat het maatschapppelijk acceptabel was. De digitalisering heeft het een groter probleem gemaakt dat er ongegeneerd met andermans persoonsgegevens werd gedaan wat ondernemers of anderen beter uit kwam. Maar ook ruim voor de digitalisering was er privacy die kon worden afgedwongen. Vroeger was het ook niet acceptabel om ongevraagd andermans medische dossier te lezen. Waren bankgegevens iets tussen de klant, de bank en de fiscus. Kon je ook niet zomaar een foto van iemand maken en gebruiken om er alleen zelf beter van te worden.
Het recht op eerbiedigen van prive familie en gezinsleven was er ook al in 1950 via het internationaal verdrag van rechten voor de mens. Daarna bestond het juridisch middel tot bescherming van persoonsgegevens, dat ook al in ging op geautomatiseerde verwerking. Het recht op privacy is ook al bijna 40 jaar zelfs onderdeel van de Nederlandse grondwet. Of het MKB zich daar ooit echt aan heeft willen houden is eerder de vraag.

Het lijkt er meer op dat het MKB er moeite mee heeft dat ze niet langer de rechten van hun klanten en anderen kunnen negeren om makkelijk geld te verdienen of geld te besparen. Je moet nu heel duidelijk vooraf aangeven welke gegevens je waarvoor wil gebruiken en er goed over nadenken of dat wettelijk wel mag. En daar lijkt dit MKB geen zin in te hebben.
En briefgeheim is niet vroegah al bedacht vanwege privacy? Privacy is niet nieuw, het wordt alleen steeds belangrijker, vandaar ook de AVG.
Overtrokken? Ik herinner mij nog een rechtszaak van voor de AVG dat juist deze praktijken illegaal zijn / waren (voor de wetgeving van die tijd).

Ook toen golden er wetten die toestemming vereisten voordat je deze soort foto’s mocht maken (en nee de school kon deze toestemming niet geven)

Dus toen al was er spraken van illegaal handelen door schoolfotografen waarbij zei onterecht eigenaarschap claimden.

Anonimiteit en privacy waren toen nog gemeen goed. Iets wat tegenwoordig anders (lijkt) te liggen.
En vervolgens loop je met je kind richting je auto en maakt hij een foto. Zover ik weet heeft hij dan gewoon de AVG omzuilt. Alleen fotografeert hij in een andere setting. En ipv iedereen om toestemming vragen. Kan je natuurlijk ook mensen voor bezwaar laten teken.
Nope, fotograferen in het openbaar is toegestaan, maar niet onbeperkt. Doelbewust een foto maken van een persoon, ook in de openbare ruimte, valt veelal onder portretrecht (bij beroemdheden en publieke functies zijn er wat meer nuances). Zeker als je fotograaf van beroep bent, wordt het lastig uit te leggen dat je de foto niet met commercieel oogpunt maakt.

Het probleem zit niet in de AVG, deze is behoorlijk duidelijk, maar in de mogelijkheid om begrijpend te lezen. De AVG verbiedt ook niet zomaar iets, zolang als je de persoonsgegevens maar conform de regels behandeld.

Het 'probleem' school foto's is niet moeilijk op te lossen. Maak een formulier waarmee je aan het begin van ieder schooljaar toestemming vraagt van ouders voor een aantal zaken zoals schoolfoto's, schoolreisje, etc. Dan weet je vooraf wie wel of niet akkoord is met iets. Geef duidelijk aan wat er met foto's gebeurd die je uiteindelijk niet afneemt (1 keer fatsoenlijk op papier zetten) en zorg dat je als school diezelfde afspraken maakt met de fotograaf.

Komt de fotograaf zijn afspraken niet na en zie je jouw kind in de etalage zonder jouw toestemming, dan kun je via AP en rechter stappen ondernemen.

De school bewaart de formulieren een jaartje in hun administratie waar alleen de geautoriseerde medewerker bij mag (waar al toestemming voor is, want je moet van elk kind een aantal persoonsgegevens vastleggen), vernietigd deze na het schooljaar (want niet meer relevant) en de fotograaf bewaard netjes zijn facturen (moet ie toch al voor de belastingdienst), zodat hij altijd kan aantonen dat de klant foto's heeft afgenomen (en het dus zeer plausibel is dat daarvoor toestemming was, want waarom zou je anders de foto's kopen?), en we zijn klaar.

Zoals anderen al aangeven zijn de argumenten van het MKB onzin. Natuurlijk willen zij vanalles vastleggen, want men heeft maar 1 doel: geld verdienen en dat kan het beste als ze je zo efficient mogelijk kunnen manipuleren.Dat wil niet zeggen dat fraudeurs e.d. niet moeten worden aangepakt, maar dan wel door daartoe bevoegde instanties en onder geldende wetgeving. Dat we in dit land het geld niet altijd juist verdelen voor deze voorzieningen is een hele andere discussie. Het MKB kan de kosten voor een nationaal frauderegister ook doneren aan de overheid om te investeren in meer politie die de fraudeurs dan wel kunnen aanpakken.

Drugscontrole op het werk?? Daar vind het arbeidsrecht nog wel iets van. Privacy bij gebruik bedrijfsmiddelen is ook zo'n mooie. Omdat je een mobiel van je baas hebt, vindt hij dat hij alle gesprekken mag afluisteren om te controleren of het niet prive is. Ik zou zeggen: probeer het eens bij de rechtbank... ik wens je heel veel geluk.

En dat is niet nieuw... Ik werk al 21 jaar in de callcenterbranche, waarbij de enige vorm van kwaliteitscontrole het beluisteren van gesprekken is, want dat is je product. Natuurlijk mag dat ook en mag je ook toetsen of je medewerker voldoet aan de gestelde eisen in de arbeidsovereenkomst, maar dat mag je niet door alle gesprekken op te nemen. Net zoals aan de lopende band, neem je een steekproef die voldoende zegt over het functioneren van je medewerker. Daarnaast zijn er nog meer regels, maar ik laat je nog wat te ontdekken over :)

En de takken waar opname wel toegestaan (en soms zelf verplicht) is, omdat er een overeenkomst gesloten wordt, mag je die opnames nog steeds niet klakkeloos gebruiken voor een beoordeling van het functioneren van een medewerker.

Dat de praktijk anders laat zien en bedrijven de rechtszaken veelal op de koop toe nemen, is een ander verhaal. Dat is ook het grootste bezwaar bij de AVG: de boetes zijn riant zwaarder dan in de WBP en dat is juist om die grote giganten aan te pakken, die boetes van 50.000 lachend betalen. 4% van je mondiale omzet (maximale boete) is echter andere koek.

Zie in het nieuws maar hoe het de grote jongens nu vergaat. De ene na de andere miljoenenboete hangt ze boven het hoofd. Natuurlijk gaan ze procederen en zal maar een deel uiteindelijk tot daadwerkelijk inning komen, maar het zet ze in ieder geval in beweging.
Nee nu hebben we school fotos waarbij iedereen geblurt is behalve je eigen kind. Nee lekker bezig!
Ik ben het er mee eens, en ik vind ook dat er een uitzondering zal moeten komen zolang er verschillende overheidsorganen de boel nog niet op orde hebben, want waarom de kleine ondernemer wel maar een overheidsorgaan uitzonderen?

Nu zijn er nog niet echt gevallen waarbij het MKB boetes opgelegd heeft gekregen door zich niet aan de AVG te houden, dus bovenstaande lijkt me nog niet echt aan de orde.

De mannen die bovenaan staan hebben een hoop goede bedoelingen met deze wet, maar richtte zich alleen op de massale en grote bedrijven waardoor ze zijn vergeten dat het grootste deel (het MKB) met veel problemen en administratieve handelingen kwamen zitten.

Het is mooi bedacht en de gedachte is goed, maar het is niet goed uitgedacht vind ik. Er zijn te makkelijk te veel regels bedacht waardoor het een kleine jungle is geworden waarbij ieder bedrijf zijn eigen interpretatie van de AVG gaat handhaven.
Het doel van de AVG is om mensen weer het recht op privacy in eigen hand te geven.
Voor bedrijven houdt dat in dat ze niet zomaar allerhande gegevens mogen verzamelen en verkopen, zonder dat de betrokkene op de hoogte is gesteld.
De regels zijn niet heel duidelijk, maar met een beetje gezond verstand kan je een heel eind komen. Je mag data verzamelen voor zover dat strikt noodzakelijk is voor het leveren van het aangeboden product of dienst. Bij aankoop via een webwinkel is het vragen naar je geloofsovertuiging onzin en mag dus niet. Een telefoonnummer kan weer noodzakelijk zijn om controles uit te kunnen voeren.
Tot nu toe werden vaak meer gegevens gevraagd dan nodig, puur om daar (misschien) wat marketingtools op los te laten. Sommige bedrijven vinden dat noodzaak, maar daar is de AVG het niet mee eens.
Ook mag je geen gegevens van iemand naar buiten brengen op zo'n manier dat dit tot een persoon is te herleiden. Scholen mogen dus geen advertentie meer plaatsen met de namen van de leerlingen die voor hun examen geslaagd zijn. Sportverenigingen mogen de jarigen niet meer op hun website zetten, maar als alleen een lijstje met voornamen van jarigen van de maand plaatsen, dan is dat vaag genoeg.

De AP is zich ervan bewust dat de wet niet overal even duidelijk is en gaat niet heel snel tot straffen over. In veruit de meeste gevallen zal de AP je bij een "overtreding" informeren over hun interpretatie van de regels. Zolang de AP zich wat dat betreft flexibel opstelt, is een wettelijke uitzondering niet nodig.

Dit verzoek van het MKB is onder de huidige omstandigheden niet meer dan wat ongeduldig gejengel.
Ik snap de bedoeling wel, maar het kost de kleine zaak gewoon extra geld terwijl die voorheen al nooit extra data verzamelde.

Ik heb zelf de regels geïnterpreteerd als, informeer de gebruiker over wat je verzameld en je cookies, en als ze een verwijderingsverzoek doen verwijder ik alles wat er bekend is.

Maar het kost onzinnige moeite tijd en geld want voorheen verzamelde ik geen rare gegevens en bij een verzoek werd ook alles verwijdert..
De cookies hoorden bij een andere wet.
De verwijderings- en data verzoeken kosten wel wat tijd. Ik kom die in de praktijk echter zelden tegen.
Verwijderen van data doen we niet, maar het wordt wel anoniem gemaakt. Dat gebeurt na een jaar toch al automatisch. Alleen de laatste inlogdatum kunnen we niet verwijderen.
Een verwijderingsverzoek is misschien 5 minuten werk. Een dataverzoek 10 minuten. Ik heb tot nu toe al 3 dataverzoeken gehad van mensen waarvan we geen data hadden.
Wij verzamelen ook geen rare gegevens. Wij vragen alleen een email en slaan wat gebruiksgegevens in de log op.
De fotograaf heeft geen toestemming nodig van de ouders. De fotograaf kan zich namelijk opstellen als verwerker van de school. De fotograaf hoeft dan enkel de instructies van de school te volgen en die foto's te maken en te verkopen aan de school.

De school heeft wel toestemming nodig, maar dat hoeft niet eens per se op papier. Simpelweg je kind naar een fotograaf sturen is al genoeg ondubbelzinnig, want de toestemming gebeurd dan impliciet. Al zou ik als school gewoon van te voren een opt in doen voor ouders.

Het hoeft allemaal niet zo moeilijk te zijn, mensen maken het moeilijk omdat ze het niet snappen en geen advies inschakelen.
Ja dat moet wel op (digitaal) papier. Hoe kan je dan ooit de toestemming bewijzen? En dit moet elk jaar weer.
Op papier hoeft alleen als nadrukkelijke toestemming vereist is. In andere gevallen kan toestemming ook impliciet gegeven worden.

Als ik een attractie in ga waar er een on ride foto gemaakt wordt, dan hoeft het pretpark daar geen toestemming voor te vragen op papier. Zij hoeft alleen maar aan te geven bij de ingang dat er on ride foto's gemaakt worden. Als jij dan de attractie betreedt geef jij impliciet toestemming.

En het hoeft sowieso niet ieder jaar weer. Eenmaal toestemming gegeven blijft die geldig tot intrekking. Hangt er natuurlijk wel vanaf hoe de vraag wordt geformuleerd.

[Reactie gewijzigd door RvdDungen op 24 mei 2019 10:20]

Als de fotograaf de foto’s (of herproducties) wil verkopen dan heeft deze wel toestemming nodig (immers is de fotograaf dan zelf verwerker geworden). Een praktijk die ze vrijwel allemaal aan doen.
Niet als het verkopen onderdeel is van de dienst die de fotograaf aan de school levert. Dan blijft hij of zij verwerker en hoeft die dus geen toestemming te vragen, dat is dan aan de opdrachtgever.

De fotograaf wordt alleen verantwoordelijke wanneer deze de foto's zelf wil gebruiken buiten het doel van schoolfoto's maken. In dat geval is wel toestemming vereist aan de fotograaf.
Belangenorganisaties:
Het is bijvoorbeeld niet mogelijk om een nationaal frauderegister op te zetten, een wens die het mkb al langer heeft. De privacywet zou dat niet toestaan. "Het kan niet zo zijn dat fraudeurs en andere criminelen worden beschermd door privacywetgeving terwijl burgers en bedrijven de dupe zijn",
Uiteraard vragen ze echter niet om een uitzondering voor een frauderegister, maar om een algemene uitzondering. Met andere woorden, dit verhaal moet sympathie opwekken voor hun standpunt, maar in werkelijkheid willen ze gewoon een vrijbrief om maximaal aan je persoonsgegevens te verdienen.

Het voorbeeld van die schoolfotograaf vind ik zeer illustratief, uiteindelijk is dat gewoon iemand die iets aan je wil verkopen, onder het voorwendsel van traditie en gebruik makend van de emotionele band met je kind. Als ik daar niet op zit te wachten dan heeft ie dat ook maar gewoon te laten. Ik maak zelf wel foto’s met mijn smartphone, zijn waarschijnlijk een stuk leuker ook.
En ja wie controleert dat allemaal of je dat wel en niet doet? Als ik zie wat de overheid allemaal voor regels heeft en als ik dan zie wat de overheid voor de naleving doet voor al die regels, moet ik altijd heel hard lachen.

Ik ben zelf zzp'er en doe met alleen de belangrijkste zaken mee. De rest zal me echt worst wezen! Ik kan mijn tijd wel beter besteden.
Als je bedoeling was om een propagandastuk te schrijven, dan ben je met vlag en wimpel geslaagd. Wat een onzin, zeg.
Ik vind die priavacy wetgeving wel wat doorgeschoten en zijn doel voorbij schieten:
Toen ik met mijn fiets bij de fietsenmaker was kon hij in zijn systeem niet eens meer zien wanneer mijn fiets een servicebeurt heeft gehad en welk merk en type ketting erop ligt.
I.v.m. de privacy was alles ouder dan 6 maanden gewist.
Lijkt mij niet de bedoeling van automatisering en erg onhandig.
Dat dit gebeurd ligt aan het onbegrip van wat de wet voorschrijft en wat niet. Bedrijven overdrijven zeer veel en nemen zeer vaak het zekere voor het onzekere, want AVG.

De AVG legt dit soort dingen niet op. De AVG legt op dat je hier goed over nadenkt en een bewuste keuze maakt die de privacybeginselen honoreert.
Dat ligt eerder aan zijn systeem dan aan de wetgeving. Volgens mij heeft elke fiets een uniek nummer waarmee je zaken als welke ketting e.d best kunt vastleggen. Lijkt me sowieso handiger want een fiets wilt nog wel eens van eigenaar veranderen.

Maar goed, ik ben het met je eens dat het allemaal wat over de top is die hele wetgeving, voor de zelfstandige of klein bedrijf is het administratief een hoop gedoe. Helemaal als je 2 linker handen hebt mbt computer systemen.
Het probleem is dat die fietsenmaker al de afgelopen jaren niet om privacy gedacht heeft. Als hij gewoon om toestemming tot opslaan van wat minimale gegevens had gevraagd (en dat kon opslaan in zijn systeem). Dan had hij gewoon die data kunnen bewaren.
Waarschijnlijk valt die fietsenmaker in dezelfde categorie als 80% van de bevolking die geen drol om privacy geeft.

Persoonlijk denk ik dan ook dat de EU wat minder geld in die AVG wet had mogen steken en wat meer in campagnes over bewustwordings over hoe je je privacy te grabbel gooit bij grote online platformen. Hoe boeiend is nu eenmaal dat de fietsenmaker/baker/slager om de hoek je telefoonnummer + naam heeft. Zolang ie niet gaat vragen om je politieke/seksuele/muzikale/film/etc... voorkeuren om zo een profiel van je vast te leggen is er wat mij betreft niets aan de hand daar.
Probleem is dat je op die manier op een gegeven moment op 1001 plekken je persoonsgegevens hebt rondslingeren. En persoonsgegevens zijn kennelijk zo kostbaar dat er een hele handel in is.
De wet dicteert niet dat hij na 6 maanden die gegevens moet verwijderen.
AVG stelt dat je gegevens nodig voor je bedrijfsvoering gewoon op mag slaan, maar zaken moeten niet onnodig refereerbaar zijn naar een persoon, en je moet er gehoor aan (kunnen) geven wanneer een persoon vraagt niet meer refereerbaar te zijn in je systeem.

De AVG is best redelijk, hoor. Wij hebben ook de nodige gegevens zoals BSN's weg moeten halen uit onze applicaties, en dan ga je kijken en dan zie je dat je die gegevens inderdaad niet nodig hebt.
Volgens mij mag een fietsenmaker die gegevens langer bewaren als dat relevant is voor de dienstverlening en jij daarmee ok bent.

Zowiezo ligt de bewaartermijn voor transacties volgens mij op langer dan 6 maanden i.v.m. de belastingdienst / boekhouding.
Het kan natuurlijk zijn dat je fiets 7 jaar geleden voor het laatst een servicebeurt had?

Gelukkig betaal jij altijd met pin, dus kon je in je bank app je laatste transactie met de fietsenmaker terug vinden met daarbij de transactie code zodat de fietsenmaker de gegevens weer bovenwater kon halen.
Dat hadden we vroeger al opgelost. Een klein boekje met daarin de onderdelen genoemd en als laatste bladzijde gewoon wat ruimte voor servicebeurt. Datum invullen en klaar.

Wil je het automatiseren dan geef je iedere verkochte fiets gewoon een frame-nummer. Leg je alle onderdelen in de kaartenbak vast.

En uiteraard kan je fietsenmaker toestemming vragen om jouw fiets, met onderdelen, op jouw naam te registeren, voor onderhoudsbeurten. Met toestemming mag dat gewoon. Zonder toestemming mag je dat niet, ook niet voor slechts 6 maanden. Uiteraard mag hij dat bestand dan niet gebruiken om je na 2 - 3 jaar te herinneren dat je een oude fiets hebt en dat het je beter een nieuwe aan kan schaffen.

Ik ben geen jurist, maar als ik de AVG lees, dan zie ik nauwelijks enig verschil met de vroegere wetgeving in verband met registratie persoonsgegevens.
Zonder toestemming mag je dat niet, ook niet voor slechts 6 maanden.
Da's niet helemaal waar. De AVG kent 6 grondslagen om persoonsgegevens te mogen verwerken. Toestemming is er eentje van, maar ook bijvoorbeeld: het uitvoeren van een overeenkomst en gerechtvaardigd belang. Die kunnen voldoende reden zijn om ook zonder toestemming persoonsgegevens te verwerken.
Ik ga er even vanuit dat er geen gerechtvaardigd belang is in registratie van (o.a.) een fietsketting op naam. (De klacht van Henri Brands hierboven).

Mijn punt is dat als je geen gerechtvaardigd belang hebt, dan is registratie niet toegestaan ook niet voor minder dan zes maanden. Maar als je toestemming vraagt (en niet aan een minderjarige) dan kan dat gewoon wel.
Hoezo dan uitzonderingen, kunnen we niet beter de oorzaak van het probleem oplossen?
Dus de regels duidelijker maken, trainingen geven, etc.
Grote bedrijven moeten zich aan de wet houden omtrent privacy, maar mkb hoeft dit niet. Die wil een uitzondering. Die willen gewoon alle data kunnen opslaan no questions asked.

Of zie ik dit nu te kort door de bocht?
Ik schat in dat de uitdaging bij mkb voornamelijk ligt bij het op de juiste manier uitvoeren van de wet. Hierbij meenemend de juiste teksten beschikbaar maken op websites waarin staat wat er allemaal gedaan wordt met de gegevens. Hoe en welke gegevens ze kunnen opslaan. en zo nog veel meer zaken.

Het is behoorlijk complexe materie, en waar grotere bedrijven meer financiële middelen hebben om het uit te besteden hebben kleine en mkb die middelen vaak niet waardoor daar dus veel problemen ontstaan met de correcte uitvoer van de wet.

Edit:
Voor de duidelijkheid ik wil hiermee niet zeggen dat er een uitzonderingspositie moet ontstaan. Maar duidelijkere richtlijnen zouden zeker niet misplaatst zijn.

[Reactie gewijzigd door Jeroen Meuleman op 23 mei 2019 17:04]

duidelijkheid ik wil hiermee niet zeggen dat er een uitzonderingspositie moet ontstaan.
zeker niet wat dan groeit een MKB uit tot een groot bedrijf of erger en dan beroepen ze zich op het feit dat de het voordien wel mochten en al jaren zo gedaan hebben.
iedereen gelijk voor de wet.

maar dan moet ook de wet begrijpbaar en uitvoerbaar zijn voor iedereen.
De AVG is duidelijk zat. Dat het niet duidelijk is is echt onzin. Zijn de persoonsgegevens niet kritiek voor het bedrijfsproces, als in. Leveringen, garanties, belasting etc. Dan is het heel simpel... Toestemming vereist. Hoe vraagt men die toestemming? Zo simpel en kort mogelijk.
als je naar mijn idee te vele tekst kwijt moet om toestemming te vragen, is je bedrijf niet helemaal koosjer bezig.

Wat is een persoonsgegeven? Alle informatie die op een manier aan personen gekoppeld kan worden. En dat is eigenlijk alle informatie die je van een gebruiker, klant of product in handen hebt.

Dat het te vaag en complex is, is echt zulke onzin. Bedrijven die die mening hebben. Heeft onkunde in huis of doet iets met die gegevens wat niet door de beugel kan.

In beide gevallen kan een bedrijf er wat aan doen. Informatievoorziening genoeg, het AP kan je gewoon contacteren met vragen. Een beetje bedrijf heeft een advocatenkantoor voor de juridische kant. Of pas je bedrijfsvoering maar aan.

Maar ja beide kost geld en of inkomsten, dus protest. Fraudeurs aanpakken kan prima, die informatie hoef je niet met derden te delen. Sowieso zijn dit soort blacklists niet al te positief, maatschappelijk gezien.

Als ik zo thuis ben maar eens kijken welke bedrijven bij deze belangenverenigingen aangesloten zijn.
Ja, het lijkt allemaal zo simpel, tot je er daadwerkelijk mee te maken krijgt, en ook aan andere wetgeving moet voldoen. Neem bijvoorbeeld de termijnen dat je data moet bewaren volgens de diverse wetgevingen. Die kan variëren van 0 tot 70 jaar...
De AVG zelf is al 119 pagina's lang, en daar komen nog een hoop andere wetten en verordeningen bij, zoals belastingwetgeving.
Die andere wetgeving overruled de AVG zoals bijvoorbeeld je facturen-adminstratie.
Dat staat ook heel duidelijk in de wet.
Ook niet ingewikkeld. De AVG stelt dat je persoongegevens mag verwerken, opslaan etc als daar een wettelijke verplichting toe bestaat. Dus je facturen x jaar bewaren om dat de AWR dat voorschrijft, is geen enkel probleem. Wel met dien verstande dat je geen onnodige gegevens bewaard, duidelijk is hoe je ze bewaard en wie er bij mag ingeval de gegevens verwerkt moeten worden. En de belanghebbende (wiens gegevens je bewaard) moet deze informatie ook krijgen als hij daarom verzoekt (in alle redelijkheid). Bedrijven die bang waren dat ontevreden klanten elke week een verzoek gaan indienen om inzage te krijgen in hun gegevens, hebben het dus niet begrepen. De AP en geen enkele rechter zal dat redelijk vinden als een klant dat doet.

Termijn kunnen verschillen in de wet dat is waar. Uitgangspunt is dan de langste termijn die verplicht wordt hanteren, dan heb je de kortere sowieso gedekt.
Laat maar, ik las niet zo goed.

[Reactie gewijzigd door Stoelpoot op 23 mei 2019 17:01]

Volgens de belangenorganisaties zijn er een jaar na de invoering van de privacywet nog veel ondernemers die niet weten hoe zij met de wet om moeten gaan
Of je gaat je er in verdiepen, of je loopt bewust risico. Valt wat mij betreft gewoon onder ondernemersrisico. Ik bedoel, belastingen zijn ook naar en soms complex. Toch is dat ook geen argument als je een naheffing krijgt. Daarom huren veel bedrijven dan ook een accountant in.

[Reactie gewijzigd door Gropah op 23 mei 2019 17:00]

Hoewel ik voorstander van de AVG ben en vind dat het mkb zich hier ook aan moet houden, is dit wel echt een van de domste argumenten die ik ooit gehoord heb. De belastingdienst is een uitermate goed voorbeeld van hoe het NIET moet. Het feit dat je een hoog opgeleid, peperduur iemand in moet huren om je belasting goed in te kunnen vullen is ronduit belachelijk. Of vind je het normaal dat je een jarenlange studie nodig hebt om iets te begrijpen dat iedereen verplicht is te doen?
Hoeft niet. Belasting is prima zelf te doen, zo moeilijk is het allemaal niet. Uitbesteden is goed te begrijpen maar dat is een keuze, niet een noodzaak.
Vaak is het niet heel moeilijk nee, maar het is niet voor niets dat die accountants er zijn. Echt niet alleen maar voor de mensen die vrijwillig een accountant in de arm nemen, omdat ze het liever uitbesteden dan zelf doen.
Vaak is het niet heel moeilijk nee, maar het is niet voor niets dat die accountants er zijn.
Op zakelijk niveau is dat een afweging. Hoeveel kost een accountant, hoeveel geld bespaard mij dat en hoeveel uur zou het mij gekost hebben? Als dat positief is (en dat is nogal snel, heb ik mij laten vertellen) dan kan het uit om een accountant in te huren.

Maar je kan het ook zelf doen en je daar mee kosten besparen. Het is een keuze, maar je moet het wel doen. En goed. Want anders komt die naheffing.

[Reactie gewijzigd door Gropah op 23 mei 2019 18:09]

Waarom niet? Dat is toch ook het hele bestaansrecht van butlers, schoonmakers, taxi’s, koeriersdiensten en eigenlijk bijna elke baan wel? Omdat er mensen zijn die ervoor willen betalen omdat ze hun eigen tijd liever ergens anders aan besteden. Belastingaangifte kun je wel zelf. Kost wel wat tijd.

Er zijn natuurlijk wel situaties waarin je verplicht bent een registeraccountant te hebben, om juridische redenen. Maar voor het meeste MKB is dat niet aan de orde, of voldoet het om zo’n accountant alleen een stempeltje te laten zetten.
Het verschil met al die dingen die je opnoemt is dat het 1) niet verplicht is en 2) je financieel niet aan de grond kan komen te staan als je het niet/fout doet.
Als je een bedrijf hebt, is schoonmaken wel degelijk verplicht als in de zin van het verzorgen van een veilige werkplek (ARBO) en in een aantal gevallen zelfs met nog strengere en specifieke regels als je met levensmiddelen e.d. werkt.
Ik heb echt nog nooit een werkgever gezien waar de baas dit zelf doet of zijn personeel laat doen, maar een schoonmaak bedrijf inhuurt om dit voor hem te regelen.
Redelijk kul argument dus.

En dat financieel aan de grond komen omdat je een fout maakt bij je aangifte is ook onzin. De belastingdienst kent vele regelingen om de verplichte belasting alsnog af te dragen, inclusief betalingsregelingen. Als je domweg niet de middelen hebt om te betalen dan is je bedrijf dus niet gezond, want een beetje ondernemer weet vooraf wel wat hij moet afdragen aan omzetbelasting, loonbelasting, e.d.

En die accountant is er veelal om legaal minder belasting te betalen middels hiaten in de wet. Ethisch misschien niet juist, maar wel toegestaan. En zoals al eerder gezegd door anderen maakt een bedrijf vaak die afweging in kosten/baten. En dat geldt vaak ook voor burgers die een accountant in de arm nemen.
aangezien je jezelf je eigen uur-tarief moet toerekenen vs wat kost een acountant doet die laatste het vaak al goedkoper als je met veel activa te maken hebt weet ik uit ervaring. Dingen als afschrijvingen, alle facturen inboeken etc gaan snel wat uurtjes in verloren. Dan kun je dat beter door de acountant laten doen tegen een vast jaar tarief inclusief alle aangiftes etc.
Het is niet voor iedereen te doen omdat niet iedereen alles begrijpt. Zolang je dat maar van jezelf weet en daar hulp voor inschakelt is er niks mis mee, je kunt niet alles weten. Ik vraag me in dit hele verhaal af in hoeverre het MKB dat laatste heeft gedaan.
Dit klinkt meer als: we hadden vroeger een uitzondering en willen die behouden zodat wij niet te hoeven investeren in de bescherming van informatie van onze klanten.
Daarnaast is het nou niet alsof grote bedrijven het makkelijk hebben tenopzichte van het mkb. Zij hebben waarschijnlijk veel meer systemen die omgezet moeten worden en medewerkers die geinformeerd moeten worden (en blijven).
Het is helemaal niet onduidelijk als je gewoon niet tracked totdat je de moeite neemt om je te verdiepen in wat je wel en niet mag doen en hoe. Dit IMO gewoon gezeur.
Jij hebt het nu alleen over websites met tracking, de wet is veeeeeel groter dan dat. Bijvoorbeeld klant/prospect beheer, wat mag je wel en niet bewaren. Wanneer iets te verwijderen of juist niet etc etc.
Gewoon verwijderen als je het niet meer nodig hebt. Of nooit expliciet toestemming voor hebt gekregen👍🏻
Of dat je het om een wettelijke reden x tijd moet bewaren (facturen 7 jaar)
Snap ze ergens wel. Elke vraag die ik er zelf over had krijg je van de AP vaak een hele goede en duidelijke uitleg, maar op een aantal complexe punten “Dat moet nog uitgekristalliseerd worden”. Ja prima, maar intussen loop jij een risico op een boete als ‘t niet blijkt te kloppen. Ik hou niet van gokken met regelgeving, het moet gewoon helder zijn. AP kan er niets aan doen, maar de EU wel - en die zijn vaak nogal vaag in ‘t begin. Zelfde gezeik met EUVAT/MOSS destijds, een aantal belachelijke regels die bizar vaag waren, contact zelfs met een belastinginspecteur: “Ja het is een draak van een wet, wij weten het ook niet, maar helaas moet u wel voldoen. Ik zou me weinig zorgen maken want wij weten ook dat het vaag is, maar het punt blijft dat u moet voldoen”. Ja, dat soort shit is dus niet handig. :P (Dat is uiteindelijk 5 jaar later opgelost door de EU :+) Dan moet je in grijze gebieden zitten en maar hopen op ‘t beste als er ooit gezeik over komt.
Wetgeving is vaak een kwestie van interpretatie. Dat je dat bij de AVG hebt is dus niet vreemd. Helaas leg je niet uit wat voor complexe punten het zijn. Misschien kan je wat voorbeelden geven zodat ook duidelijk kan worden waarom het compex zou zijn. Geen uitsluitsel hebben of iets wel of niet mag wil niet zeggen dat een vraagstuk complex is.

[Reactie gewijzigd door kodak op 23 mei 2019 22:02]

Knap staaltje omdenken. Ik zou zeggen: "het kan niet zo zijn dat de burgers last hebben mbt hun privacy door een stel fraudeurs en criminelen".
MKB misbruikt hier de AVG nogal.
Het staat het MKB Nederland namelijk gewoon toe bijvoorbeeld een fraude register aan te leggen. Zolang de klant akkoord gaat met de verwerking kan dat gewoon. Ook moet de verwerking "veilig" gebeuren en moet je als klant inzage kunnen krijgen over hoe je op zo'n lijst staat.

Die transparantie zorgt nu juist voor het evenwicht want als het niet klopt kun je het op dat moment netjes aanvechten. Dat laatste is wat MKB Nederland waarschijnlijk niet ziet zitten.
Ik denk niet dat fraudeurs en criminelen daar toestemming voor zullen geven. ;)
Het is bijvoorbeeld niet mogelijk om een nationaal frauderegister op te zetten, een wens die het mkb al langer heeft. De privacywet zou dat niet toestaan.
Onzin. De AVG staat dat al toe. Dat valt onder Artikel 6.1e - een verwerking noodzakelijk voor de vervulling van een taak van algemeen belang. Er dient dan krachtens Artikel 6.3 nationaal recht te zijn die in de rechtsgrond voor zulke verwerking voorziet. Dat zal dus bij de Nederlandse staat zelf geregeld moeten worden.
Waaruit maak jij op dat een nationaal frauderegister (zoals het MKB dat voorstelt) valt onder systeem met een verwerking noodzakelijk voor de vervulling van een taak van algemeen belang?
Waaruit maak jij op dat een nationaal frauderegister (zoals het MKB dat voorstelt) valt onder systeem met een verwerking noodzakelijk voor de vervulling van een taak van algemeen belang?
De AVG bevat de voorziening dat nationale wetgeving van een lidstaat kan voorzien in wat wel/niet een taak van algemeen belang is en aan welke exacte voorwaarden voldaan moet worden om toch binnen de geest van de AVG te opereren.

Die voorziening is nota bene op laste van Nederland toegevoegd, juist voor dit soort quasi-openbare functies.
Je quote een tekst die stelt dat het niet mogelijk is om een nationaal frauderegister op te zetten. Je geeft aan dat de AVG dat wel toestaat. Maar dat lees ik niet in de AVG zoals je die aanhaalt.

De AVG maakt het mogelijk om een uitzondering te hebben indien er spraken is van een algemeen belang. Maar dat algemeen belang dient nog wel gedefinieerd dient te worden, anders maakt de AVG de uitzondering niet mogelijk. De AVG gaat verder niet over die definitie. En zolang die definitie er niet is kan je moeilijk zeggen dat het voorstel van een nationaal frauderegister er aan voldoet en de AVG het mogelijk maakt.
Je quote een tekst die stelt dat het niet mogelijk is om een nationaal frauderegister op te zetten. Je geeft aan dat de AVG dat wel toestaat. Maar dat lees ik niet in de AVG zoals je die aanhaalt.

De AVG maakt het mogelijk om een uitzondering te hebben indien er spraken is van een algemeen belang. Maar dat algemeen belang dient nog wel gedefinieerd dient te worden, anders maakt de AVG de uitzondering niet mogelijk. De AVG gaat verder niet over die definitie. En zolang die definitie er niet is kan je moeilijk zeggen dat het voorstel van een nationaal frauderegister er aan voldoet en de AVG het mogelijk maakt.
De AVG maakt het mogelijk, middels een rechtsgrond in nationale wetgeving.
De nationale wetgeving heeft die rechtsgrond nog niet.

Het MKB moet dus niet zeuren over het aanpassen van de AVG, maar moet gaan lobbyen bij de Nederlandse regering voor een wet die hen de voor de AVG benodigde rechtsgrond biedt.

Is dat nou werkelijk zo moeilijk te begrijpen?

[Reactie gewijzigd door R4gnax op 23 mei 2019 22:35]

Als je het meteen zo had opgeschreven in plaats van zo stellig te zijn met een redenering die niet klopt dan was het werkelijk niet zo moeilijk je te begrijpen ;)

Ik denk dat het MKB het best wel weet dat ze uiteindelijk in die definitie al een oplossing kunnen krijgen. En met het lobbyen zijn ze met de brief en de media-aandacht ook al bezig. Het is waarschijnlijk makkelijker om aandacht te krijgen als je als MKB controversieel gaat doen dat het weer aan de wet zou liggen.
Als je het meteen zo had opgeschreven in plaats van zo stellig te zijn met een redenering die niet klopt dan was het werkelijk niet zo moeilijk je te begrijpen
Ik denk dat dat meer aan jou ligt. Was echt niet moeilijk om uit @R4gnax zijn/haar tekst te halen wat door hen bedoeld werd. De door jou afgekraakte redenering was dus gewoon correct.
Als we op tweakers ingaan of iets wel of niet mag dan is het juist belangrijk dat er niet iets anders staat dan is bedoeld. Wetgeving is geen kwestie van maar ik bedoelde iets anders. Commentaar op die inhoud hebben is voor mij geen afkraken.

[Reactie gewijzigd door kodak op 24 mei 2019 09:31]

Er staat echter in deze niet iets anders dan wordt bedoeld. @R4gnax zegt dat de AVG een provisie heeft voor nationale wetgeving om dingen die in de AVG staan nader vorm te geven, en dat is 100% correct. Dat we in Nederland momenteel geen wetgeving hebben die daarop inhaakt, doet geen afbreuk aan wat er gezegd is.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 KPN

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True