Sinds 2018 laat de AVG kleine bedrijven trillen. Verhalen over boetes van 20 miljoen euro circuleren en verlammen kleine ondernemers die denken "ik ben verloren, ik ben niet compliant".
De werkelijkheid is eenvoudiger. De CNIL heeft nooit een klein bedrijf beboet dat een redelijke inspanning voor naleving doet. Ze gaat af op de webgiganten, bedrijven die persoonlijke gegevens verkopen, recidivisten. Niet op de loodgieter met een Excel-bestand van klanten.
Dit betekent niet dat je niets hoeft te doen. Maar het inspanningsniveau is ruimschoots te beheren.
De 5 acties die 80% van je verplichtingen dekken
Actie 1: het verwerkingsregister (de basis)
Dit is het centrale document van de AVG. Het vermeldt de persoonlijke gegevens die je verzamelt, waarom, en hoe lang je ze bewaart.
Voor een typisch klein bedrijf past dit op één pagina:
| Verwerking | Verzamelde gegevens | Doel | Bewaarduur |
|---|---|---|---|
| Klantenbestand | Naam, e-mailadres, telefoonnummer, adres | Commercieel beheer | 3 jaar na laatste contact |
| Boekhouding | Naam, adres, factuurnummer | Wettelijke verplichting | 10 jaar |
| Salarissen (met werknemers) | Burgergegevens, sofinummer, rekeningnummer | Salarisbeheer | 5 jaar na vertrek |
| Website | Cookies, IP, contactformulier | Marketing, analytics | 13 maanden (cookies), 3 jaar (formulier) |
| Nieuwsbrief | E-mailadres | Communicatie | Tot afmelding |
De CNIL biedt een gratis sjabloon op haar website. Vul het in 30 minuten in en werk het eenmaal per jaar bij.
Actie 2: het informeren van personen
Je moet personen van wie je gegevens verzamelt, informeren. In de praktijk:
-
Op je website: een pagina "Privacybeleid" (of "Gegevensbescherming") toegankelijk vanaf de footer. Beschrijf in eenvoudige taal welke gegevens je verzamelt, waarom, hoe lang je ze bewaart, en hoe je je rechten kunt uitoefenen.
-
Op je formulieren: een zin onder elk contactformulier: "De verzamelde gegevens worden gebruikt om uw verzoek te beantwoorden. U kunt uw rechten uitoefenen door contact met ons op te nemen via [e-mailadres]. Raadpleeg ons privacybeleid."
-
Voor je werknemers: een document dat bij indiensttreding wordt overhandigd met een lijst van gegevens die in het kader van de arbeidsrelatie worden verzameld.
Actie 3: het beheren van cookies
Als je website cookies gebruikt voor doelgroepanalyse (Google Analytics, Matomo) of reclame, moet je de uitdrukkelijke toestemming van de bezoeker krijgen VOORDAT je deze cookies plaatst.
De actie: installeer een cookiebanner die conform is. Gratis oplossingen zoals Tarteaucitron.js of Cookiebot (gratis tot 100 pagina's) doen het werk.
Uitzondering: cookies die strikt noodzakelijk zijn voor de werking van de website (authenticatie, winkelwagen) vereisen geen toestemming.
Alternatief: gebruik Matomo in "toestemmingsvrije" configuratie (CNIL-melding). Je behoudt je analytics zonder cookiebanner.
Actie 4: de beveiliging van gegevens
De AVG vereist dat je persoonlijke gegevens beschermt met "passende technische en organisatorische maatregelen". Voor een klein bedrijf betekent dit:
- Sterke en unieke wachtwoorden (zie het cybersecurity-artikel)
- Beveiligingsupdates toepassen
- Regelmatige back-ups
- Beperkte toegang tot gegevens (niet iedereen heeft toegang tot alles)
- Versleuteling van laptops
Dit is niets meer en niets minder dan de goede cybersecurity-praktijken die je toch al zou moeten toepassen.
Actie 5: het beheren van rechten van personen
De AVG geeft personen rechten over hun gegevens: inzage, rectificatie, verwijdering, overdraagbaarheid. In de praktijk ontvangen kleine bedrijven zeer weinig verzoeken van dit type.
De actie: wijs een contactpersoon aan (jezelf of een collega) en een contacte-mailadres aan (bijvoorbeeld gegevens@jouwbedrijf.nl). Als een verzoek binnenkomt, antwoord binnen een maand. Dat is alles.
Wat kan wachten
De Functionaris voor Gegevensbescherming — alleen verplicht voor bedrijven die gegevens op grote schaal of gevoelige gegevens verwerken. Een klein bedrijf met 5 personen heeft geen Functionaris voor Gegevensbescherming nodig.
Impact Assessment — alleen verplicht voor verwerkingen met hoog risico (grootschalige videoregistratie, systematische profilering, gezondheidsgegevens). Het klantenbestand van je timmerbedrijf is geen verwerking met hoog risico.
AVG-certificering — geen certificering is verplicht. Bedrijven die je "AVG-certificeringen" verkopen, exploiteren angst. Naleving is een continu proces, geen label.
Bij schending van gegevens
Als persoonlijke gegevens lekken (hack, verloren USB-stick, e-mail naar het verkeerde adres), heb je 72 uur om de CNIL in te lichten als de schending een risico voor personen oplevert.
Het meldingsformulier staat online op de website van de CNIL. Vul het eerlijk in: wat is er gebeurd, hoeveel personen zijn betrokken, welke maatregelen heb je genomen.
De CNIL is coulanter voor een bedrijf dat snel meldt dan voor een bedrijf dat het incident verbergt.
De AVG is geen bureaucratisch monster voor kleine bedrijven. Het is een kader van gezond verstand: bescherm de gegevens van je klanten zoals je wilt dat je eigen gegevens worden beschermd.