BARNEVELD - Veel Barneveldse bedrijven voldoen niet aan de aangescherpte Wet Bescherming Persoonsgegevens (WBP). Daarvoor waarschuwt Remco van Slooten van Schuiteman Accountants & Adviseurs in Barneveld. “Je bent er niet met een slotje op je website.”

Die indruk zou je gemakkelijk kunnen krijgen. Vooral IT-bedrijven stortten zich in de afgelopen maanden namelijk op de wet en de bijbehorende meldplicht voor datalekken. “Zulke bedrijven bieden oplossingen in de vorm van een firewall, hacktest, IT-security scan of een ssl-protocol. Allemaal goed, maar de wet is veel breder dan het stukje informatiebeveiliging waar IT-bedrijven zich op storten”, zegt de IT-accountant.
Zo moet je expliciet toestemming of andere gegronde redenen hebben om persoonsgegevens op te slaan. Je dient te documenteren hoe je omgaat met die persoonsgegevens. Als iemand erom vraagt, moet je binnen korte tijd zijn of haar gegevens kunnen tonen, wijzigen of vernietigen. En dan is er nog de plicht om persoonsgegevens goed te beveiligen en datalekken binnen 72 uur te melden.

Salarisstrookjes
En nee, dat geldt niet alleen voor grote multinationals. Volgens Van Slooten raakt de wet iedere organisatie. “Persoonsgegevens zijn alle gegevens aan de hand waarvan je iemand kunt identificeren. Denk aan iemands naam, adres, burgerservicenummer en e-mailadres. Maar ook foto’s, het kenteken van iemands lease-auto of carrièreverloop. Als je een contactformulier op je website hebt, een crm-systeem met klantinformatie bijhoudt of salarisgegevens van werknemers hebt, moet je al aan de wet voldoen.”
Schuiteman Accountants & Adviseurs wil bedrijven vooral bewust maken. Een volgende stap is dat het kantoor klanten meeneemt in een traject om te voldoen aan de WBP. “Wij hebben voor onszelf uitgezocht wat je allemaal moet regelen. Die kennis willen we gaan delen, bijvoorbeeld via presentaties of adviesgesprekken, zodat klanten niet het wiel hoeven uit te vinden.”

Want er moet best veel geregeld worden. Als je bijvoorbeeld de salarisstroken buiten de deur laat maken, moet je een bewerkingsovereenkomst afsluiten met de salarisverwerker. “Doe je dat niet, dan ben jij volledig verantwoordelijk als de persoonsgegevens van jouw medewerkers op straat komen te liggen. Ook als dat komt door een softwarelek in het salarispakket van jouw salarisverwerker.”

Meldplicht
En stel dat je op vrijdagmiddag half vijf per ongeluk een excellijstje met werknemergegevens naar een verkeerd e-mailadres stuurt. Kan je dan binnen 72 uur een risico-inschatting maken en eventueel een datalek melden? “Geloof me, die tijd heb je hard nodig. Dan is een protocol erg handig”, zegt Van Slooten. Is al die aandacht voor bescherming van persoonsgegevens niet een beetje overdreven? Hoe groot is de kans nu dat de Autoriteit Persoonsgegevens achter jou als lokale ondernemer aan gaat? “Dat kan je alleen zelf inschatten”, reageert de IT-accountant. “Maar de toezichthouder heeft onlangs aangekondigd dat de eerste boetes eraan komen. En vanaf mei 2018 wordt de wet nog verder aangescherpt. Nu bedragen de boetes maximaal 820.000 euro of 10 procent van je jaaromzet. Dat kan gaan oplopen tot 20 miljoen euro. Niets doen kan gewoon niet meer.”

schuiteman.com