Boete geen verwerkingsregister: Wat zijn de échte risico's voor kleine ondernemers?

Als kleine ondernemer hoort u de horrorverhalen over de AVG (Algemene Verordening Gegevensbescherming) vast ook. Vooral de boetes van 20 miljoen euro vliegen u om de oren. De schrik zit er goed in, maar vaak wordt er gedreigd met het verkeerde gevaar.

Laten we eerlijk zijn: de kans dat u als zzp'er of mkb'er direct zo'n miljoenenboete krijgt voor alleen het *ontbreken* van een verwerkingsregister, is extreem klein. De Autoriteit Persoonsgegevens (AP) zet haar beperkte middelen liever in op grote, structurele overtreders.

Betekent dit dat u het register dan maar moet laten zitten? Zeker niet. U loopt namelijk een veel realistischer en vervelender risico. Niet het risico van een faillissement door een boete, maar het risico van **"gedoe"**.

Risico 1: "Gedoe" met de Autoriteit Persoonsgegevens

De AP komt zelden zomaar langs voor een kop koffie. Ze komen pas in actie als er iets misgaat. Denk aan:

• Een boze (ex-)klant of medewerker die een klacht indient.
• U moet een datalek melden (bijvoorbeeld een gehackte laptop of een nieuwsbrief naar de verkeerde mailinglijst).

Op dat moment zal de AP vragen gaan stellen. En de áltijd eerste, meest basale vraag is: "Kunt u ons uw verwerkingsregister toesturen?"

Het verwerkingsregister is voor de AP het bewijs dat u überhaupt heeft nagedacht over privacy. Het is de 'inhoudsopgave' van uw dataverwerking.

Als u dan moet stamelen dat u er geen heeft, staat u direct op achterstand. U toont aan dat u de basis niet op orde heeft. De AP zal u niet direct een boete van een miljoen geven, maar het 'gedoe' begint hier:

• U krijgt een formele waarschuwing.
• U krijgt een dringend verzoek (een 'last') om het register alsnog binnen een korte termijn op te stellen.
• De AP gaat verder doorvragen, omdat ze nu vermoeden dat er meer mis is.

Dit kost u enorm veel tijd, stress en mogelijk geld voor juridische bijstand. Dat is 'gedoe' dat u niet wilt.

Risico 2: Angstige (en professionele) klanten verliezen

Dit is misschien wel het meest directe financiële risico. Als u zakendoet met andere bedrijven (B2B), zeker als dat grotere organisaties zijn, krijgt u hiermee te maken.

Die grotere klanten hebben hun eigen AVG-verplichtingen. Zij zijn wettelijk verplicht om te controleren of hun leveranciers (dat bent u!) de data die zij aanleveren wel veilig en netjes verwerken. Ze moeten aan *ketenverantwoordelijkheid* doen.

Het 'Compliance' Vragenformulier

U kent het wel: u bent bijna rond met een mooie nieuwe opdracht en dan komt 'ie: het 'Security & Compliance' formulier van de klant. Tussen de vragen over ISO-certificaten en firewalls staat steevast:

"Heeft u een actueel verwerkingsregister? Zo ja, kunt u een samenvatting hiervan delen?"

Als u hier 'Nee' moet invullen, of (erger nog) niet reageert, gaan er bij de klant rode vlaggen op. U bent opeens een risico. U oogt onprofessioneel. De kans is groot dat ze kiezen voor die andere leverancier die zijn administratie wél op orde heeft. Dat is concreet, verloren omzet.

Risico 3: Paniek bij een datalek of inzageverzoek

Het verwerkingsregister is niet alleen een 'moetje' voor de wet. Het is vooral een cruciaal hulpmiddel voor uzelf. Het is uw eigen spiekbriefje.

In het register staat precies:

• Wélke data u verzamelt (bv. namen, e-mails, BSN's).
• Wáár u die data opslaat (bv. Mailchimp, uw boekhoudpakket, een Excel-sheet).
• Wáárom u die data heeft (bv. wettelijke plicht, uitvoering contract).
• Hoe lang u het bewaart.

Stel, uw laptop wordt gestolen (datalek!). Zonder register breekt de paniek uit. Welke data stond erop? Van welke klanten? Waar stonden die bestanden nog meer? U kunt uw meldplicht bij de AP niet eens fatsoenlijk nakomen.