15 februari 2018

Column Lotte de Bruijn: ‘Dure komma’

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), PRIVACY, VERTROUWEN

Ik ben van het grote plaatje en niet van de punten en komma’s. Je doet mij dan ook geen plezier met complexe juridische documenten. Gelukkig werken er bij Nederland ICT juristen en beleidsadviseurs die waanzinnig goed zijn in het uitpluizen van contracten en wetteksten. Soms kan het plaatsen van een komma of een interpretatie daarvan namelijk het verschil betekenen tussen een administratieve last van een paar miljoen of niet. Dat is precies wat er nu speelt bij de nieuwe Europese privacyregels, de Avg.

De Avg, hoor ik je denken, is die niet al lang aangenomen? Wordt die niet op 25 mei definitief van kracht? Dat klopt, maar daarvoor moeten er nog wel bepaalde wijzigingen worden doorgevoerd in de Nederlandse wet. De ambtenaren van het ministerie van Justitie en Veiligheid hebben in de kerstvakantie een wetsvoorstel ingediend bij de Tweede Kamer. En ergens in dat voorstel staat een komma met grote gevolgen.

Ik heb waarschijnlijk drie columns nodig om het hele verhaal uit te leggen, dus ik zal je de details besparen. Maar de kern van de zaak is dat in de Avg een verplichting staat voor een register waarin bedrijven moeten bijhouden welke persoonsgegevens ze verwerken. Dat betekent een behoorlijke administratieve last voor zo ongeveer het hele Nederlandse bedrijfsleven. Gelukkig maakt de wet een uitzondering voor mkb-bedrijven. Althans, dat lezen wij in het betreffende artikel.

Het ministerie leest de wet echter zo dat deze uitzondering alleen geldt voor organisaties die ‘incidenteel’ gegevens verwerken. Met die redenering valt elk bedrijf met een salaris of personeelsadministratie alsnog onder de registerplicht. Dat is vreemd, want waarom zou je een uitzondering in de wet opnemen als die voor bijna niemand van toepassing is? De Europese wetgever geeft zelf aan dat de uitzondering is bedoeld om de administratieve lasten voor het mkb te verminderen. Bovendien is er in de huidige wet al een soortgelijke vrijstelling voor het mkb. Het zou logisch zijn dat die ook onder de nieuwe wet blijft bestaan.

Bij omvangrijke nieuwe wetgeving, zoals de Avg, is er altijd een grijs gebied tussen de letter van de wet en de uitvoering in de praktijk. Om hierbij te helpen hebben we bij Nederland ICT de wet vertaald naar een ‘code’ voor ICT-bedrijven die gegevens verwerken. Ons uitgangspunt is daarbij het doel van de wet: het verbeteren van de bescherming van persoonsgegevens en transparantie over de manier waarop je dat doet.

Dat doel is wat mij betreft leidend. Onze Data Pro Code en bijbehorende dienstverlening helpen bedrijven om zo simpel mogelijk aan klanten en ketenpartners te laten zien hoe ze hun privacy en security geregeld hebben. Het is de basis voor goede onderlinge afspraken, volgens het principe van ‘pas toe of leg uit’. Uiteindelijk zorgt die transparantie voor extra vertrouwen en een hogere standaard in de markt. Het bijhouden van registers is slechts een middel om dat doel te bereiken.

Hoe nu verder met de discussie over de komma? We hebben de Tweede Kamer gevraagd de wet te repareren. Hopelijk kijken de Kamerleden ook naar het grote plaatje. Dat zou het Nederlandse mkb heel wat onnodige administratieve lasten schelen.

Deze column verscheen in februari 2018 in ChannelConnect.