Ook kleine ondernemers in Nederland zijn verplicht de privacywetgeving na te leven. Een boete voor een AVG-overtreding als kleine ondernemer is een reëel risico. In dit artikel lees je wat de AVG vereist van kleine ondernemers, welke boetes de Autoriteit Persoonsgegevens (AP) kan opleggen en hoe je jouw bedrijf kunt beschermen tegen privacyschendingen en hoge sancties.
Wat is de AVG en voor wie geldt het?
De Algemene Verordening Gegevensbescherming (AVG), in het Engels GDPR, is een Europese verordening die de verwerking van persoonsgegevens reguleert. De AVG geldt voor alle organisaties die persoonsgegevens verwerken, inclusief kleine ondernemers. Of je nu een webshop, zzp’er, accountantskantoor of een klein restaurant bent, als je persoonsgegevens van klanten, medewerkers of leveranciers verwerkt, ben je gebonden aan de verplichtingen van de AVG.
Meest voorkomende AVG-overtredingen bij kleine ondernemers
Veelvoorkomende overtredingen zijn: het ontbreken van een privacyverklaring op de website, het niet vragen om toestemming bij het verzenden van nieuwsbrieven, het onveilig opslaan van klantgegevens, het langer bewaren van persoonsgegevens dan noodzakelijk, het niet tijdig afhandelen van verzoeken van betrokkenen tot inzage of verwijdering, en het zonder verwerkersovereenkomst uitwisselen van gegevens met derden. Al deze situaties kunnen leiden tot een boete van de Autoriteit Persoonsgegevens.
Hoe hoog zijn de boetes voor AVG-overtredingen?
De boetes die de Autoriteit Persoonsgegevens (AP) kan opleggen voor AVG-overtredingen zijn in twee categorieën verdeeld. De eerste categorie heeft een maximumboete van 10 miljoen euro of 2 procent van de jaaromzet. De tweede categorie, voor zwaardere overtredingen, heeft een maximumboete van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Hoewel kleine ondernemers doorgaans lagere boetes ontvangen, kunnen de bedragen voor een zzp’er of mkb-bedrijf nog steeds zeer aanzienlijk zijn.
Wat doet de AP bij een melding of klacht?
De AP ontvangt klachten van burgers over privacyschendingen. Bij een melding start de AP een onderzoek. Als er sprake is van een overtreding, kan de AP een waarschuwing geven, een last onder dwangsom opleggen of een bestuurlijke boete uitschrijven. Bij ernstige overtredingen kan de AP ook direct handhaven zonder voorafgaande waarschuwing. Kleine ondernemers worden niet automatisch vrijgesteld van handhaving vanwege de omvang van hun bedrijf.
Verplichtingen voor kleine ondernemers onder de AVG
Als kleine ondernemer moet je aan een aantal basisverplichtingen voldoen: een duidelijke privacyverklaring op je website, een verwerkingsregister als je meer dan 250 medewerkers hebt of geregeld gevoelige gegevens verwerkt, geldige toestemming voor marketing per e-mail, verwerkersovereenkomsten met partijen aan wie je gegevens doorgeeft, en een duidelijk beleid voor het verwijderen van persoonsgegevens na een bepaalde bewaartermijn. Kleine ondernemers zijn overigens ook verplicht datalekken te melden bij de AP binnen 72 uur als er risico is voor betrokkenen.
Bezwaar bij een AVG-boete van de Autoriteit Persoonsgegevens
Als je een boete hebt ontvangen van de AP en het er niet mee eens bent, kun je bezwaar maken bij de AP binnen zes weken na de dagtekening van de beschikking. Vervolgens kun je in beroep bij de bestuursrechter en in hoger beroep bij de Afdeling bestuursrechtspraak van de Raad van State. Schakel een privacyrecht- of bestuursrechtadvocaat in bij het aanvechten van een AVG-boete, gezien de technische complexiteit van de juridische discussies rondom privacywetgeving.
Hoe bescherm je jouw bedrijf als kleine ondernemer?
Zorg voor een actuele privacyverklaring op je website. Gebruik verwerkersovereenkomsten als je gegevens deelt met derden. Bewaar persoonsgegevens niet langer dan noodzakelijk. Train medewerkers in AVG-bewustzijn. Gebruik veilige systemen voor het opslaan van klant- en personeelsgegevens. Stel een procedure op voor het afhandelen van datalekken. Bij vragen kun je advies vragen bij de Autoriteit Persoonsgegevens of een privacydeskundige inschakelen voor jouw specifieke bedrijfssituatie.
Conclusie
Een boete voor een AVG-overtreding als kleine ondernemer is een reëel risico. De AP handhaaft actief en ook kleine ondernemers zijn niet gevrijwaard van sancties. Neem de privacywetgeving serieus en zorg voor een goede AVG-naleving binnen jouw bedrijfsvoering. Bij een onterechte boete maak je bezwaar bij de AP met juridische bijstand van een privacyrechtadvocaat voor de beste kansen in een eventuele bezwaar- of beroepsprocedure.