logo

AVG: wie is er als eerste de pineut; Facebook of de belastingdienst?

avg-wie-als-eerste-de-pineut-1

Toen eerder dit jaar in Nederland de beruchte “sleepwet” werd ingevoerd stond het halve land op de barricades. Nadat het kabinet beloofde er nog eens goed naar te zullen kijken, aan nog een paar knopjes draaide ter aanpassing, verdween de media-aandacht en daarmee de aandacht van het publiek. Hetzelfde lot lijkt een andere wet, de nieuwe Europese privacywet (AVG) beschoren, maar dat is toch niet helemaal waar.


AVG

In juni informeerden wij u uitgebreid over deze wet. Hierbij toch de 88 pagina´s tellende wet nog even in het kort.

De wet vervangt de databeschermingsrichtlijn uit 1995. In de nieuwe wet heeft u recht op inzage, correctie, verwijdering en dataportabiliteit van uw persoonlijke gegevens. De wet uit 1995 voorzag daar niet in. Elk bedrijf dat data van u heeft is verplicht hier gehoor aan te geven.

In Spanje heet de wet “Reglamento General de Protección de Datos” (RGPD). Spaanse ondernemingen zijn verplicht zich te registreren bij “la Agencia Española de Protección de Datos” (AEPD). Dit geldt voor alle ondernemingen, van ZZP’er tot multinational. Veel, kleinere ondernemingen, hebben dit overigens nog niet gedaan, al is het ten zeerste te adviseren dit wel te doen. De boetes die kunnen worden opgelegd zijn aanzienlijk en kunnen oplopen tot 4% van de jaaromzet met een maximum van 20 miljoen euro.


Handhaving

De grote vraag is natuurlijk “wie gaat er handhaven en hoe wordt de wet gehandhaafd?” Op zich kan dit vrij simpel. Nagenoeg iedere ondernemer heeft data onder zich, al zijn het maar gegevens van leveranciers of personeel. Feitelijk kan daarom elke ondernemer die zich niet heeft geregistreerd bij AEPD beboet worden.  

Het doel van de wet is natuurlijk niet om miljoenen aan boetes uit te delen aan alle bedrijven die zaken doen binnen Europa. Het doel is om uw en mijn data beter te beschermen. Als er boetes worden uitgedeeld komt het de wetgever natuurlijk niet slecht uit als die nieuwswaardig zijn. Dit brengt de wet weer onder de aandacht en motiveert ondernemingen zich aan deze wet te houden.


Belastingdienst

Al vrij snel na het ingaan van de wet bleek dat de Nederlandse belastingdienst zich niet aan de wet hield en deze heeft nu tot maart 2019 gelegenheid gekregen dat wel te doen. Als niet-helderziende kan ik u nu vast voorspellen dat dit niet gaat lukken. Als eenmanszaak of ZZP’er is uw burgerservicenummer (BSN) hetzelfde als uw BTW-nummer. Dat zijn dus persoonlijke gegevens die u nu (verplicht) plaatst op facturen en websites. Dat mag dus niet volgens de privacywet en daarmee overtreedt de belastingdienst de regels.

De toch al door automatiseringsproblemen geteisterde belastingdienst zal daarvoor onder meer met andersoortige BTW-nummers op de proppen moeten komen, de aangifte-portalen moeten aanpassen en dat ook nog even internationaal regelen, aangezien de BTW-nummers ook gebruikt worden voor intracommunitaire transacties. In maart 2019 weten we meer en mogelijk valt hier wel de eerste boete.

Saillant detail is dat de Spaanse belastingdienst hetzelfde probleem heeft. Als autónomo is uw NIE ook uw NIF (fiscaal nummer). De Spaanse belastingdienst houdt zich dus ook niet aan de wet, maar daar is nog niemand over begonnen.


Facebook

Een ander potentieel slachtoffer voor boetes is Facebook. Na eerst de affaire gehad te hebben over onrechtmatige dataverkoop aan Cambridge Analytics, werden er afgelopen zomer miljoenen gegevens van gebruikers van Facebook gehackt. Nadat er eerst sprake was van 50 miljoen accounts, werd dit later bijgesteld naar 30 miljoen.

Facebook heeft hiermee niet goed zorg gedragen voor de persoonlijke gegevens van de gebruikers van het platform en heeft daarmee de privacywet overtreden. Een flinke (financiële) tik op de vingers van Facebook ligt daarom ook in de lijn der verwachting.

Wie eerst?

Raul Boer