Column


Alexandra van Beelen over de AVG:

Hebben alle mkb’ers een registerplicht?

De AVG is helaas niet altijd even duidelijk. Sommige artikelen bieden ruimte voor verschillende interpretaties. Een daarvan betreft de verplichting tot het opstellen en bijhouden van een register van verwerkingsactiviteiten.

In het ‘verwerkingsregister’ moet onder meer worden beschreven welke soorten persoonsgegevens een organisatie verwerkt en voor welke doeleinden, met welke derden deze gegevens worden gedeeld, hoelang deze bewaard worden en welke beveiligingsmaatregelen er worden toegepast.

Deze registerverplichting geldt niet voor organisaties die minder dan 250 werknemers in dienst hebben. De Europese wetgever heeft hiermee bewust een uitzondering gecreëerd voor kleine en middelgrote ondernemingen om ervoor te zorgen dat de administratielast voor deze bedrijven niet te zwaar wordt.

Uitzonderingen
Om het niet al te gemakkelijk te maken, zijn op deze uitzondering echter ook weer drie uitzonderingen van toepassing. Organisaties met minder dan 250 werknemers moeten toch een verwerkingsregister bijhouden als:

  • het waarschijnlijk is dat de verwerking een risico inhoudt voor de privacy van de betrokkene;
  • de verwerking niet incidenteel is, of;
  • de verwerking bijzondere of strafrechtelijke persoonsgegevens betreft.

De eerste en de derde voorwaarde zijn in de meeste gevallen duidelijk. Als je (structureel) gevoelige gegevens verwerkt zoals medische gegevens of strafrechtelijke gegevens, dan moet je een verwerkingsregister bijhouden.

Wat is ‘niet incidenteel’?
Het is de tweede uitzondering die problemen oplevert. Want wanneer is nu een verwerking ‘niet incidenteel’? Als je deze term letterlijk uitlegt, is vrijwel elke verwerking van persoonsgegevens niet incidenteel. Elke mkb-onderneming met een personeelsadministratie of een klantenbestand verwerkt met enige regelmaat persoonsgegevens, al is het maar het opmaken van een maandelijkse salarisstrook.

Het kan toch niet de bedoeling zijn dat ook dan al een verwerkingsregister moet worden bijgehouden? De hele uitzondering voor bedrijven met minder dan 250 werknemers is dan zinloos, omdat deze dan (vrijwel) nooit van toepassing zal zijn.

Nederland legt te ruim uit
Helaas, dat is nu juist wel de interpretatie die de Nederlandse wetgever (in de Memorie van Toelichting bij de Uitvoeringswet AVG) en de Autoriteit Persoonsgegevens (op haar website) aan de woorden ‘niet incidenteel’ geven.

De door de overheid uitgegeven Handleiding AVG vermeldt het volgende: “Bij niet-incidentele verwerking kunt u denken aan elke verwerking met een zekere bestendigheid. Denk hierbij bijvoorbeeld aan het bijhouden van een klantendatabase of een personeelsadministratie. Aangezien veruit de meeste verwerkingen niet-incidenteel zijn, zal in de praktijk slechts in een beperkt aantal gevallen een beroep op deze uitzondering kunnen worden gedaan.”

Mijns inziens is de interpretatie die de Nederlandse wetgever en de privacytoezichthouder aan deze verplichting geven te ruim. Gevolg hiervan is dat vrijwel alle bedrijven – ongeacht het aantal werknemers – een verwerkingsregister moeten bijhouden, alleen omdat ze over een personeels-/salarisadministratie of CRM-systeem met contactgegevens van klanten beschikken.

Een logischere uitleg van de woorden ‘niet incidenteel’ is dat de verwerking behoort tot de kernactiviteiten van de onderneming. Dit zou betekenen dat bijvoorbeeld een salarisadministratiekantoor (wiens kernactiviteit het is om gegevens van werknemers te verwerken) wel een registerplicht heeft, maar een aannemer of een hovenier niet.

Dit strookt ook met de oorspronkelijke tekst voor de AVG van de Europese Commissie. Deze geeft aan dat de registerverplichting niet geldt voor ‘an enterprise or an organisation employing fewer than 250 persons that is processing personal data only as an activity ancillary to its main activities’. Pas in de allerlaatste versie van de AVG zijn de woorden ‘niet incidenteel’ opgedoken. Gelet op de wetsgeschiedenis en de overwegingen van de AVG zijn deze woorden niet bedoeld om kleine en middelgrote bedrijven die naast hun hoofdactiviteiten persoonsgegevens verwerken die geen hoog privacyrisico vormen opeens met extra administratieverplichtingen op te zadelen. Niet voor niets zijn reguliere gegevensverwerkingen zoals een personeelsadministratie en een klantenadministratie onder de huidige Wet bescherming persoonsgegevens vrijgesteld van de verplichting om deze te melden bij de toezichthouder.

Wat nu?
Het zou wenselijk zijn als er tijdens de behandeling van het huidige wetsvoorstel voor de UAVG nog aandacht wordt besteed aan dit onderwerp en men terugkomt van de huidige interpretatie die in de Memorie van Toelichting bij de UAVG te vinden is.

Op Europees niveau hebben de privacytoezichthouders (verenigd in de zogeheten Artikel 29 Werkgroep) aangekondigd dat zij richtlijnen zullen publiceren die moeten helpen om te bepalen wanneer kleine en middelgrote ondernemingen toch een verwerkingsregister moeten bijhouden. Hopelijk bieden deze richtlijnen een interpretatie die wel rekening houdt met de belangen van deze ondernemingen. Tot die tijd zouden mkb’ers in Nederland er veiligheidshalve toch maar vanuit moeten gaan dat vanaf 25 mei 2018 een verwerkingsregister onderdeel dient te zijn van hun administratie.

Mr. Alexandra van Beelen is advocaat bij Trip Advocaten & Notarissen.

 

Lees meer over