10 april 2018

Autoriteit Persoonsgegevens ziet toch uitzondering registerplicht voor mkb 

Autoriteit Persoonsgegevens ziet toch uitzondering registerplicht voor mkb 

In de Avg (GDPR) staat dat alle bedrijven die persoonsgegevens verwerken daar een register van moeten bijhouden. Dat levert een flinke administratieve last op. Schattingen lopen uiteen van tweehonderd miljoen tot een half miljard aan extra kosten per jaar voor alleen al het Nederlandse bedrijfsleven. De Avg bevat echter ook een uitzondering op deze registerplicht voor bedrijven met minder dan 250 werknemers. De meningen over de precieze interpretatie van de wettekst lopen echter uiteen. Een recente uitspraak van Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, lijkt nu toch de weg vrij te maken voor een brede uitzondering.

Verschil van interpretatie

De kern van de vraag is voor wie de uitzondering op de registerplicht nu daadwerkelijk geldt. In de interpretatie van Nederland ICT zijn dat alle bedrijven met minder dan 250 werknemers, tenzij zij structureel risicovolle verwerkingen doen of bijzondere persoonsgegevens verwerken. Maar tot nu toe hield het ministerie van Justitie en Veiligheid zich aan de interpretatie dat de uitzondering voor bedrijven met minder dan 250 werknemers niet geldt voor bedrijven die structureel gegevens verwerken ongeacht of deze gegevens risicovol zijn of niet. Met deze interpretatie zal de registerplicht alsnog voor bijna alle bedrijven gelden. Elke mkb’er verwerkt namelijk al structureel persoonsgegevens in een klantenbestand of personeelsadministratie. Dat zou betekenen dat ruim een miljoen bedrijven preventief een register bij moet houden, ten behoeve van controles die de AP bij misschien honderd bedrijven per jaar uitvoert. Die lasten zijn niet proportioneel en dragen nauwelijks bij aan de bescherming van persoonsgegevens.

Autoriteit Persoonsgegevens: toch uitzondering?

De interpretatie van Nederland ICT is in lijn met de toelichting op de Avg van de Europese Commissie, waarin staat dat de administratieve lasten voor het mkb zo laag mogelijk moeten blijven. Deze administratieve lastenverlichting werd bovendien onlangs door een meerderheid van de Tweede Kamer expliciet aan de Nederlandse verankering van de Avg toegevoegd. Tot slot past onze interpretatie ook helemaal binnen de huidige systematiek onder de Wbp, waar niet-risicovolle verwerkingen niet gemeld hoeven te worden bij de AP.

De Autoriteit Persoonsgegevens lijkt nu ook op deze lijn te zitten. Dat valt althans op te maken uit een interview dat AP-voorzitter Aleid Wolfsen eind maart gaf op BNR. Wolfsen: “Als je een klein bedrijfje hebt, minder dan 250 mensen, hoef je daar geen boekhouding [voor al je verwerkingen, NL ICT] van bij te houden – in beginsel. Tenzij je hele gevoelige persoonsgegevens verwerkt.” (link, vanaf 1:16).

Oproep aan WP 29

Deze week werkt de artikel 29 werkgroep (alle verzamelde nationale toezichthouders in Europees verband) aan een gezamenlijke uiting over de registerplicht. Nederland ICT roept de AP op zich ook in dit verband hard te maken voor een interpretatie die onnodige administratieve lasten bij het mkb voorkomt.

mm
Helpdesk Avg We helpen je graag met vragen over de Avg. Neem contact op via: avg@nederlandict.nl (0348) 49 36 36

Gerelateerd

Digital Trust Centre maakt bedrijven weerbaarder tegen cybercrime

Hoe wapen je jouw bedrijf tegen de gevaren van cybercrime? Dat veel MKB’ers onvoldoende antwoord hebben op deze vraag constateerden wij al eerder. We deden daarom in 2016 een oproep aan het kabinet om meer aandacht te besteden aan de digitale weerbaarheid van het MKB. Ons plan voor een Digital Trust Centre (DTC) kreeg in 2017 groen licht en dit jaar start het ministerie van Economische Zaken en Klimaat in samenwerking met het ministerie van Justitie en Veiligheid met het programma.