Wat hebt u te maken met de borsten van Barbie?

Tenzij u zélf Barbie bent of haar behandelend arts is het antwoord op deze vraag: geen ene moer. En dat begrijpt werkelijk iedereen die met privacygevoelige gegevens werkt. Is het normaal om als ondernemer een onbekende te bellen en die te vragen naar zijn belangstelling voor jouw product? Ja, dat mag en dat begrijpt ook iedereen. Tussen die twee uitersten was het grijze gebied in de afgelopen jaren enorm gegroeid. De nieuwe AVG is een poging om daar wat helderheid in te scheppen. Hoe zit het in elkaar? En hoe gaan regionale ondernemingen hier mee om.

De Scheveningse BN’er
Bekende Nederlandse Barbie uit Scheveningen heeft sinds haar eerste optreden in Oh oh Cherso flink wat aandacht voor zichzelf getrokken. Met een hele serie ‘reality’ tv programma’s kregen wij van alles van haar te weten. Van haar bevalling en haar scheiding, van haar hondje en haar bankstel. Toen Barbie begin dit jaar werd opgenomen dachten vijfentachtig medewerkers van het Haga Ziekenhuis dat zij ongestraft een kijkje konden nemen in haar medisch dossier. Fout! Dat was niet alleen ongepast, het was ook niet echt fraai dat het überhaupt mogelijk was. Kennelijk is de ICT van het Haga Ziekenhuis niet zo goed beveiligd. De nieuwe Algemene Verordening Gegevensbescherming verplicht iedere organisatie om zijn data beter te beschermen, zowel technisch als met goede afspraken over verantwoordelijkheden van medewerkers.

Een reclamemailtje aan alle getrouwde mannen ouder dan 45
Zomaar iemand bellen om te proberen hem klant te maken is altijd toegestaan. Dat heet ‘koude acquisitie’ en is over het algemeen niet zo succesvol. Veel beter is het om iemand te bellen waarvan je iets weet – een nieuw project, een vacature, een jubileum – waar je in het gesprek naar kunt verwijzen. Maar wat zou je als ma-kelaar doen wanneer je een heel vakantiepark voor vaste bewoning aan de man wilt brengen: een reclamemailtje rondsturen in de regio aan alle mannen ouder dan 45 jaar? De nieuwe Algemene Verordening Gegevensbescherming verbiedt dat, TENZIJ je een adressenbestand hebt van mannen ouder dan 45 die bewust hebben gemeld dat zij belangstelling hebben voor tweede huisjes in vakantieparken.

Boetes tot 4% van je omzet
Ga je hier als ondernemer de fout mee in, dan kan je uiteindelijk tegen een boete aanlopen van 2% (voor slecht databeheer) tot 4% (voor overtreding van privacy-bepalingen) van de omzet. Dat kan voor een gemiddelde MKB-onderneming al snel in de tienduizenden euro’s lopen. Exclusief de kosten voor je advocaat die je nodig hebt bij je verdediging.

De borsten van Barbie waren in de aanloop naar de invoering van de AVG per eind mei een prachtig voorbeeld van hoe het niet moet. Geen hond in Nederland die eraan twijfelde dat hier een grens was overschreden. En geen ondernemer wil dat een medewerker (die kans is véél groter dan een hacker) op dezelfde manier zomaar gaat zitten grasduinen in de gegevens van zijn bedrijf.

Laten we dit even simpel maken. Ondernemers werken met allerlei gegevens – van soeprecepten tot bouwtekeningen en van betaalgegevens van klanten tot de boekhouding. U maakt afspraken met de medewerkers die daarmee mogen werken. Die afspraken over de rechten en plichten van hun gebruik van uw bedrijfsgegevens moeten duidelijk zijn. En ze moeten bij een eventuele controle opgevraagd kunnen worden. Dit kunt u prima in de personeelsdossiers doen.
Daarnaast moet u natuurlijk zorgen voor goede technische beveiliging. En ook dat moet u kunnen rapporteren. Kijk daarbij vooral naar leveringsvoorwaarden en garanties van dienstverleners die betrokken zijn bij uw data: van boekhouder tot marketingbureau en van systeembeheerder tot cloud opslagleverancier (Dat kan dus zelfs de grens over gaan . . . gebruikt er iemand Dropbox, Google Drive?). Die leveranciers moeten een verwerkersovereenkomst met u afsluiten.

Uw klant is koning
Of het slim is om mensen met reclame te bestoken voor het geval van een aanstaande scheiding is nog maar de vraag. Maar zolang de klant het goed vindt zit u ook goed. Zorg ervoor dat u die goedkeuring krijgt en dat die ook weer makkelijk ingetrokken kan worden.

Ook op dit gebied is de AVG heel simpel: alles mag waar uw klant toestemming voor gegeven heeft, al het andere niet. Toch moet u om dit goed geregeld te krijgen vaak heel veel doen. Op formulieren of websites waar u gegevens van klanten en belangstellenden verzamelt moet duidelijk staan waarvoor u die gegevens verzamelt. Daarnaast moet u organiseren dat klanten en belangstellenden hun gegevens kunnen inzien, wijzigen en verwijderen. De meeste ICT aanbieders hebben dit vaak allang voor uw site, relatiebeheersoftware of boekhoudprogrammatuur beschikbaar.

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *