Een datalek of onrechtmatige verwerking kan niet alleen leiden tot boetes van de Autoriteit Persoonsgegevens, maar ook tot reputatieschade en verlies van klantvertrouwen — een dure les voor bedrijven die al onder druk staan.
Als accountant of adviseur bent u vaak de vertrouwenspersoon van de ondernemer. U heeft daarmee een sleutelrol in het signaleren van risico’s en het stimuleren van privacybewust handelen.
Drie situaties waarin privacyproblemen ontstaan
1. Klantgegevens zonder duidelijke grondslag
- Veel mkb’ers verzamelen en bewaren klantgegevens — denk aan e-mailadressen, telefoonnummers en betalingsinformatie — zonder goede documentatie van de wettelijke grondslag of bewaartermijnen. Bijvoorbeeld: een webshop die klantgegevens onbeperkt bewaart voor ‘mogelijk toekomstig contact’. Dit is in strijd met de AVG.
2. HR-dossiers met overmatige of verouderde informatie
- Personeelsdossiers bevatten vaak medische gegevens, gespreksverslagen of kopieën van identiteitsbewijzen die langer worden bewaard dan toegestaan. Veel ondernemers weten niet dat dit onrechtmatig is en dat werknemers daartegen bezwaar kunnen maken.
3. Uitwisseling van gegevens bij financiering of overname
- Bij aanvragen voor financiering, subsidies of bedrijfsoverdrachten worden regelmatig persoonsgegevens gedeeld met derden. Zonder verwerkersovereenkomst of duidelijke afspraken is dit een risico. Zelfs het doorsturen van een loonlijst naar een bank kan problematisch zijn als niet vooraf goed is nagedacht over de gegevensbescherming.
Wat adviseurs moeten signaleren
Als adviseur is het belangrijk om AVG-compliance te benaderen als een integraal onderdeel van goed ondernemerschap. Let daarbij op de volgende signalen:
– Is er een overzicht van alle verwerkingen van persoonsgegevens (verwerkingsregister)?
– Worden verwerkersovereenkomsten gesloten met externe partijen (bijv. salarisadministratie, softwareleveranciers)?
– Is er beleid voor bewaartermijnen en dataminimalisatie?
– Worden medewerkers geïnformeerd over hun plichten rondom privacy?
Een ondernemer die op deze punten geen antwoord heeft, loopt mogelijk onbewust risico. Door het gesprek hierover te voeren, helpt u uw klant niet alleen om boetes te voorkomen, maar ook om vertrouwen bij klanten en personeel te versterken.
Praktische tips: de basis op orde krijgen
Een privacycheck hoeft geen dagen te kosten. Met een praktische benadering kunt u als adviseur al veel betekenen. Onderstaande punten vormen een goed startpunt:
– Verwerkingsregister opstellen: Welke persoonsgegevens worden verwerkt, met welk doel en op basis van welke grondslag?
– Verwerkersovereenkomsten controleren: Zijn ze aanwezig voor alle externe partijen die toegang hebben tot persoonsgegevens?
– Toestemming en informatieplicht: Zijn er heldere privacyverklaringen en wordt expliciet toestemming gevraagd waar nodig?
– Bewaartermijnen vastleggen: Wat wordt wanneer verwijderd? Geen gegevens ‘voor de zekerheid’ bewaren.
– Beveiligingsmaatregelen checken: Zijn systemen met persoonsgegevens afdoende beveiligd tegen onbevoegde toegang?
Tip: Bied een korte privacy-audit aan als onderdeel van uw adviespraktijk — laagdrempelig, maar met grote impact.
Cora Blaak-Looij is advocaat bij VLDW Advocaten.
Wil je meer leren over de privacyrisico’s in het mkb en de manier waarop jij als accountant je klant hierbij kunt ondersteunen? Volg dan de masterclass Juridische aspecten van het MKB. Kijk hier voor meer info.
Geef een reactie