Controle Autoriteit Persoonsgegevens bij kleine MKB'ers: Hoe werkt dat?

Kort Samengevat (TL;DR)

De Autoriteit Persoonsgegevens (AP) komt niet zomaar langs. Ze doen vrijwel geen willekeurige controles bij kleine ondernemers; ze hebben het te druk met grote overtreders.

Hoe u wél in beeld komt: 99% van de onderzoeken bij ZZP'ers en MKB'ers start na een individuele klacht. Denk aan een boze ex-klant, een afgewezen sollicitant, of een kritische (ex-)medewerker. Na zo'n klacht is de AP verplicht actie te ondernemen. En de eerste vraag die ze stellen is: "Mag ik uw verwerkingsregister zien?"

Als kleine ondernemer heeft u waarschijnlijk het gevoel dat de Autoriteit Persoonsgegevens (AP) een ver-van-uw-bed-show is. Ze zijn bezig met TikTok, Microsoft, en grote webwinkels. Ze hebben toch geen tijd voor uw eenmanszaak of MKB met 5 man personeel?

Dat gevoel klopt. En het klopt ook niet.

U heeft gelijk dat de AP haar middelen moet prioriteren. Ze gaan niet op een willekeurige dinsdag controleren of de bakker op de hoek een verwerkingsregister heeft. De kans op een proactieve, willekeurige controle is nagenoeg nul.

Maar... u komt niet in beeld door een willekeurige controle. U komt in beeld door een klacht.

De AP is een Reactieve Waakhond

De AP heeft twee hoofdtaken: toezicht houden op grote risico's (zoals datalekken bij miljoenenbedrijven) en het behandelen van klachten van burgers.

En die tweede taak is hoe u als ondernemer in beeld komt. De AP is wettelijk verplicht om een serieuze klacht van een burger in behandeling te nemen. Ze *moeten* er iets mee doen.

De Triggers: Wie Dient er een Klacht in?

Een onderzoek begint niet met een zwarte bus van de AP voor de deur. Het begint met een simpel online formulier, ingevuld door iemand die boos op u is:

  • De boze ex-klant: "Ik heb gevraagd mijn gegevens te wissen, maar ik krijg nog steeds reclame. Nu ben ik er klaar mee en dien ik een klacht in."
  • De teleurgestelde sollicitant: "Ik heb gesolliciteerd en nooit meer iets gehoord. Ik wil weten welke data ze van mij hebben. Ze reageren niet op mijn inzageverzoek."
  • De kritische (ex-)medewerker: "Mijn baas houdt op een onduidelijke manier mijn prestaties bij. Ik vertrouw het niet."

Deze persoon hoeft geen jurist te zijn. Het klachtenformulier op de website van de AP is laagdrempelig en zo ingevuld. Vanaf dat moment loopt u 'in de kijker'.

Wat Gebeurt er Ná de Klacht? (Het "Gedoe" Begint)

Zodra de klacht binnen is, zal de AP (meestal) niet direct een boete sturen. Ze starten een "Informatieverzoek".

U ontvangt een officiële brief (of e-mail met het blauwe logo) met daarin de melding dat er een klacht is ingediend, en een verzoek om hierop te reageren. Ze stellen u een paar concrete vragen. En de áltijd eerste, meest basale vraag is:

"Kunt u ons een kopie van uw (actuele) verwerkingsregister toesturen?"

Dit is het moment van de waarheid. Op dit punt zijn er twee scenario's.

Scenario A: U Heeft Geen Register

De paniek slaat toe. U heeft niets. U moet de AP, een officiële toezichthouder, mailen dat u het meest basale document van de AVG niet op orde heeft. U staat direct 1-0 achter.

Het 'gedoe' is begonnen: u krijgt een formele waarschuwing, u moet alsnog met spoed (en vaak dure hulp) een register opstellen, en de AP zal de rest van uw antwoorden met extra argwaan bekijken. U heeft immers al aangetoond de basis niet serieus te nemen.

Scenario B: U Heeft Wél een Register

Geen paniek. U opent de map "AVG" op uw computer, pakt de PDF die u heeft gegenereerd, en voegt deze als bijlage toe aan uw antwoordmail. "Geachte AP, uiteraard. Hierbij ons actuele verwerkingsregister, zoals gevraagd."

U toont direct professionaliteit en 'goede wil'. De kans dat de AP dieper gaat graven is vele malen kleiner, omdat u laat zien dat u uw 'basis op orde' heeft. Het register fungeert als uw schild. Het 'gedoe' stopt hier vaak, nog voor het goed en wel begonnen is.

Wacht Niet op de Klacht van die Boze Klant

Een verwerkingsregister is geen document dat u dagelijks nodig heeft. Het is een verzekering. Het is de brandblusser in de hoek van de kamer. U hoopt hem nooit te gebruiken, maar u bent onverstandig als u er geen heeft op het moment dat er brand uitbreekt.

Onze 8-staps generator is ontworpen om die 'brandblusser' in 5 minuten voor u te regelen.

Regel uw AVG-'brandblusser' (€49)