10 april 2018

Autoriteit Persoonsgegevens ziet toch uitzondering registerplicht voor mkb 

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), PRIVACY, VERTROUWEN

In de Avg (GDPR) staat dat alle bedrijven die persoonsgegevens verwerken daar een register van moeten bijhouden. Dat levert een flinke administratieve last op. Schattingen lopen uiteen van tweehonderd miljoen tot een half miljard aan extra kosten per jaar voor alleen al het Nederlandse bedrijfsleven. De Avg bevat echter ook een uitzondering op deze registerplicht voor bedrijven met minder dan 250 werknemers. De meningen over de precieze interpretatie van de wettekst lopen echter uiteen. Een recente uitspraak van Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, lijkt nu toch de weg vrij te maken voor een brede uitzondering.

Verschil van interpretatie

De kern van de vraag is voor wie de uitzondering op de registerplicht nu daadwerkelijk geldt. In de interpretatie van Nederland ICT zijn dat alle bedrijven met minder dan 250 werknemers, tenzij zij structureel risicovolle verwerkingen doen of bijzondere persoonsgegevens verwerken. Maar tot nu toe hield het ministerie van Justitie en Veiligheid zich aan de interpretatie dat de uitzondering voor bedrijven met minder dan 250 werknemers niet geldt voor bedrijven die structureel gegevens verwerken ongeacht of deze gegevens risicovol zijn of niet. Met deze interpretatie zal de registerplicht alsnog voor bijna alle bedrijven gelden. Elke mkb’er verwerkt namelijk al structureel persoonsgegevens in een klantenbestand of personeelsadministratie. Dat zou betekenen dat ruim een miljoen bedrijven preventief een register bij moet houden, ten behoeve van controles die de AP bij misschien honderd bedrijven per jaar uitvoert. Die lasten zijn niet proportioneel en dragen nauwelijks bij aan de bescherming van persoonsgegevens.

Autoriteit Persoonsgegevens: toch uitzondering?

De interpretatie van Nederland ICT is in lijn met de toelichting op de Avg van de Europese Commissie, waarin staat dat de administratieve lasten voor het mkb zo laag mogelijk moeten blijven. Deze administratieve lastenverlichting werd bovendien onlangs door een meerderheid van de Tweede Kamer expliciet aan de Nederlandse verankering van de Avg toegevoegd. Tot slot past onze interpretatie ook helemaal binnen de huidige systematiek onder de Wbp, waar niet-risicovolle verwerkingen niet gemeld hoeven te worden bij de AP.

De Autoriteit Persoonsgegevens lijkt nu ook op deze lijn te zitten. Dat valt althans op te maken uit een interview dat AP-voorzitter Aleid Wolfsen eind maart gaf op BNR. Wolfsen: “Als je een klein bedrijfje hebt, minder dan 250 mensen, hoef je daar geen boekhouding [voor al je verwerkingen, NL ICT] van bij te houden – in beginsel. Tenzij je hele gevoelige persoonsgegevens verwerkt.” (link, vanaf 1:16).

Oproep aan WP 29

Deze week werkt de artikel 29 werkgroep (alle verzamelde nationale toezichthouders in Europees verband) aan een gezamenlijke uiting over de registerplicht. Nederland ICT roept de AP op zich ook in dit verband hard te maken voor een interpretatie die onnodige administratieve lasten bij het mkb voorkomt.