Administratieve last neemt door AVG sterk toe 
Voldoen aan de AVG is met name voor het mkb een aanzienlijke administratieve last. De AVG is weliswaar niet helemaal nieuw, maar de eisen aan ondernemers in relatie tot de voorganger van de AVG – de Wet bescherming persoonsgegevens 3 – zijn substantieel toegenomen. In de praktijk kost het mkb-ondernemers veel moeite om aan de regels te voldoen. Het is dan ook veelzeggend dat Metaalunie bij de start van de AVG voor haar leden al een online tool heeft ontwikkeld met onder andere kant-en-klare privacyverklaringen. Maar zelfs met deze tool zorgt de AVG nog steeds voor een onevenredig zware administratieve last. In de praktijk blijkt dat grotere bedrijven vaak beter toegerust zijn op naleving van de AVG dan mkb-ondernemers, omdat grotere bedrijven vaak wel de menskracht en kennis in huis hebben. Metaalunie is dan ook van mening dat de AVG te weinig rekening houdt met de lastendruk voor kleinere ondernemers.  

In praktijk veel onduidelijkheid en onzekerheid 
Een ander probleem met de AVG is dat er onduidelijke regels in staan. Daardoor weten ondernemers niet altijd hoe ze de regels op de juiste manier moeten naleven. Dat is vervelend, omdat daardoor onzekerheid ontstaat over eventuele claims van mensen wiens gegevens worden verwerkt of boetes van de Autoriteit Persoonsgegevens. Ondernemers, maar ook burgers, willen duidelijkheid en daarmee zekerheid. De meeste onduidelijkheid is er over:   

• dat persoonsgegevens ‘passend’ moeten worden beveiligd;
• dat persoonsgegevens niet langer mogen worden bewaard dan ‘noodzakelijk’ is; en
• dat met een ‘verwerker’ een verwerkersovereenkomst moet worden gesloten. 

 
Persoonsgegevens moeten ‘passend’ worden beveiligd 
Een bedrijf dat persoonsgegevens verzamelt en gebruikt, moet die persoonsgegevens passend beveiligen. Er moeten technische en organisatorische maatregelen worden genomen, zodat de gegevens zijn beschermd tegen bijvoorbeeld verlies of gebruik door personen die ze niet mogen gebruiken. Welke maatregelen er in een concrete situatie precies genomen moeten worden, vertelt de AVG echter niet. Dit wordt afhankelijk gesteld van zeven omstandigheden, zoals de kosten van de maatregelen en de ‘stand van de techniek’. Het is hierdoor zeer onduidelijk welke concrete maatregelen een bedrijf in een bepaalde situatie moet nemen. De beoordeling of de beveiliging ‘passend’ is geweest, wordt tevens pas achteraf gemaakt. Dan is het leed – vaak onbedoeld door de ondernemer – al geschied.  

Persoonsgegevens mogen niet langer dan ‘noodzakelijk’ bewaard worden  
Persoonsgegevens mogen niet langer worden bewaard dan ‘noodzakelijk’, gelet op het doel waarvoor ze zijn verkregen. Maar wat is ‘noodzakelijk’? Soms bepaalt de wet hoe lang je bepaalde gegevens moet bewaren, toch is er vaak geen wettelijke bewaartermijn. Bedrijven moeten dan zelf een afweging maken. Dit is lastig en brengt wederom onzekerheid met zich mee. Ook hier vindt de beoordeling of gegevens langer zijn bewaard dan nodig achteraf plaats. Bovendien is het daadwerkelijk wissen of verwijderen van persoonsgegevens praktisch niet altijd goed mogelijk. Dit komt doordat persoonsgegevens onderdeel kunnen uitmaken van een digitale omgeving, waarbij de functionaliteit ontbreekt om gegevens gedeeltelijk te wissen.  
 
Met een ‘verwerker’ moet een overeenkomst worden gesloten 
Als een bedrijf een andere partij in staat stelt om de persoonsgegevens te verwerken, verplicht de AVG tot het sluiten van een verwerkersovereenkomst. Het is echter niet altijd duidelijk wanneer een partij een ‘verwerker’ is. De Autoriteit Persoonsgegevens heeft weliswaar een lijstje ter beschikking gesteld met voorbeelden van verwerkers, maar in de praktijk geeft deze lijst onvoldoende uitsluitsel. Dit leidt er toe dat er onnodig veel verwerkersovereenkomsten worden gesloten om het zekere voor het onzekere te nemen. Onnodig tijdrovend naar de mening van Metaalunie.  
 
Onpraktische uitkomsten 
De regels uit de AVG leiden soms bij letterlijke naleving tot zeer onwenselijke uitkomsten. Het lijkt alsof er door de opstellers van de AVG en de Autoriteit Persoonsgegevens niet altijd voldoende is stilgestaan bij de praktische uitwerking van bepaalde regels. Een voorbeeld daarvan is de situatie op bouwplaatsen. Aannemers hebben er een groot belang bij om van iedere arbeidskracht alle, voor de Belastingdienst relevante, gegevens vast te leggen. Dat moest eerst op de bouwplaats gebeuren. Door een lobby, waar Metaalunie een voortrekkersrol in heeft gespeeld, is hier nu een praktischere oplossing voor gekomen. De onderaannemer mag de betreffende gegevens voorafgaand aan de bouw opsturen naar de aannemer. Alhoewel dit probleem dus is opgelost, blijven er andere problemen bestaan, bijvoorbeeld als een bedrijf een visumbureau inschakelt om de benodigde documenten te regelen voor werkbezoeken van medewerkers in het buitenland. De tekst van de AVG volgend, lijken de activiteiten van visumbureaus niet te zijn toegestaan. Dat kan wat betreft Metaalunie niet de bedoeling zijn.    
 
Oplossingsrichtingen  
Naar de mening van Metaalunie is het van belang dat de Autoriteit Persoonsgegevens haar verantwoordelijkheid neemt om onduidelijkheden met betrekking tot de AVG weg te nemen. Daarbij zou de focus moeten liggen op het verduidelijken van de regels aan de hand van concrete situaties, zodat burgers en bedrijven weten hoe zij precies aan de regels kunnen voldoen. Het motto zou wat Metaalunie betreft dus moeten zijn: van abstract naar concreet.