Veel ondernemers denken bij juridische kosten aan advocaten, rechtszaken en contractgeschillen. Maar een groeiend deel van de juridische rekeningen in Nederland ontstaat door iets veel alledaagser: een website die de privacyregels overtreedt. De Autoriteit Persoonsgegevens (AP) heeft de afgelopen jaren tientallen miljoenen euro’s aan boetes opgelegd, en het aantal handhavingsacties neemt toe.

Wie een webshop runt, een portfolio online heeft of klantgegevens verzamelt via contactformulieren, valt onder de Europese privacywetgeving. Het maakt niet uit of je een eenmanszaak bent of een bedrijf met honderd medewerkers. De verplichtingen gelden voor iedereen die persoonsgegevens verwerkt, ongeacht de omvang.

De avg wetgeving stelt concrete eisen aan hoe je gegevens opslaat, verwerkt en beveiligt. Denk aan een correct cookiebeleid, een privacyverklaring die daadwerkelijk klopt, en technische maatregelen om datalekken te voorkomen. Veel kleine ondernemers realiseren zich niet dat ze al in overtreding zijn zodra ze Google Analytics zonder expliciete toestemming laden.

Boetes van de toezichthouder lopen snel op

De AP kan boetes opleggen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. In de praktijk liggen boetes voor mkb-bedrijven lager, maar zelfs een boete van 10.000 tot 50.000 euro kan een kleine ondernemer hard raken. In maart 2022 legde de AP een boete van 20,25 miljoen euro op aan Clearview AI voor het onrechtmatig verzamelen van biometrische gegevens van Nederlandse burgers, zoals beschreven op de website van de AP.

Naast de boete zelf komen er juridische kosten bij. Een gespecialiseerde privacyadvocaat rekent al snel 200 tot 350 euro per uur. Een bezwaarprocedure tegen een AP-besluit kost gemiddeld tussen de 5.000 en 15.000 euro aan advocaatkosten, en dan zijn de interne uren voor het verzamelen van documentatie nog niet meegerekend.

Waar gaat het technisch mis bij de meeste websites?

Een veelvoorkomend probleem is hosting buiten de Europese Unie. Wanneer persoonsgegevens van bezoekers op servers in de Verenigde Staten terechtkomen, is dat sinds het Schrems II-arrest van het Europese Hof van Justitie in juli 2020 juridisch bijzonder complex. Bedrijven moeten dan aanvullende waarborgen treffen, wat in de praktijk zelden goed gebeurt.

Nederlandse hostingpartijen zoals TransIP slaan data op in datacenters binnen Nederland, wat de naleving van de avg wetgeving aanzienlijk vereenvoudigt. De keuze voor een Europese hostingprovider is geen garantie voor volledige compliance, maar het elimineert wel een van de grootste risicofactoren. Drie fysiek gescheiden datacenters met drievoudige replicatie zorgen daarnaast voor de beschikbaarheid die de wet vereist bij het verwerken van persoonsgegevens.

Andere technische valkuilen zijn het ontbreken van een SSL-certificaat, het niet afsluiten van verwerkersovereenkomsten met externe dienstverleners, en het bewaren van gegevens langer dan noodzakelijk. Elk van deze punten kan aanleiding zijn voor een onderzoek door de AP.

Voorkomen is goedkoper dan genezen

Een juridische audit van je website kost bij een gespecialiseerd bureau tussen de 500 en 2.500 euro, afhankelijk van de complexiteit. Vergelijk dat met de kosten van een boeteprocedure en de keuze is snel gemaakt. Platforms als Iubenda bieden geautomatiseerde privacydocumenten die al voor enkele tientjes per maand beschikbaar zijn.

De privacyregels vereisen ook dat je een register van verwerkingsactiviteiten bijhoudt. Dit document beschrijft welke persoonsgegevens je verzamelt, waarom je dat doet en met wie je ze deelt. Voor een gemiddelde mkb-website met contactformulier, nieuwsbrief en analyticstools is dat register in een middag op te stellen.

Wat veel ondernemers vergeten is dat klanten steeds vaker zelf hun rechten uitoefenen. Het aantal inzageverzoeken bij Nederlandse bedrijven groeit elk jaar, zo blijkt uit het jaarverslag 2023 van de AP. Als je niet binnen een maand correct reageert op zo’n verzoek, kan dat een klacht opleveren die direct bij de toezichthouder belandt.

Bewuste keuzes beperken je juridische risico

De slimste manier om juridische kosten rond privacy te beperken is ze simpelweg te voorkomen. Dat begint bij het kiezen van dienstverleners die privacyvriendelijk werken: een hostingprovider die data binnen de EU houdt, een cookiebanner die daadwerkelijk toestemming vraagt voor tracking, en een verwerkersovereenkomst met elke partij die toegang heeft tot klantgegevens.

Naleving van de avg wetgeving is geen eenmalige actie maar een doorlopend proces. Websites veranderen, nieuwe plugins worden geinstalleerd en de Europese regelgeving wordt regelmatig aangescherpt. Wie jaarlijks een kort juridisch checkmoment inplant, voorkomt dat kleine nalatigheden uitgroeien tot boetes in de tienduizenden euro’s.

500+ kozen voor juridische hulp via advocaat-kosten.nl

Erg prettig om met een professional van gedachte te wisselen en advies te ontvangen.

  
Evert

Zeer fijn contact en duidelijke tips. Soms wat moeilijkere termen maar dat hoort er bij.

  
Trudy

Zeer correct en duidelijke uitleg, ben zeer tevreden!

  
Abdul

Vlotte reactie op mijn vragen, adviezen gekregen waar ik mee verder kon.

  
Cees

Snelle reactie. Vriendelijk geholpen en goed doorverwezen naar de juiste advocaat.

  
Linda

We zijn goed en duidelijk geholpen en het was duidelijk dat mevrouw ons goed hielp met hoe we verder moesten met ons probleem.

Gregory