Column


IT-jurist Peter van Schelven over...

Dode letters en beunhazen in privacyland

Ik erger me groen en geel aan sommige hedendaagse praktijken van consultants op het gebied van privacy. Praktijken die een bijna malafide karakter hebben en die ervoor zorgen dat naïeve bedrijven en organisaties nodeloos met privacykosten worden opgezadeld. Er zijn privacyadviseurs die geld verdienen aan de dode letters uit de privacywetgeving. Wat is het geval?

Kijk je naar de Wet bescherming persoonsgegevens (Wbp), de in Nederland sinds 1 september 2001 geldende privacywet, dan tref je daarin voor bedrijven, overheden en andere organisaties een lange reeks verplichtingen aan. Zo zegt de wet dat je in een aantal gevallen wettelijk verplicht bent om aan de Autoriteit Persoonsgegevens te melden dat je persoonsgegevens verwerkt. Die verplichting is in de Wbp opgenomen als uitvloeisel van het transparantiebeginsel: mensen moeten immers kunnen nagaan welke persoonsgegevens zijn opgeslagen of anderszins worden verwerkt en met welk doel dat gebeurt.

Openbaar register
De Autoriteit Persoonsgegevens houdt van die meldingen een openbaar register bij. U en ik kunnen dat register makkelijk via de website van de toezichthouder raadplegen, bijvoorbeeld op naam van het betrokken bedrijf. Het register bevat een groot aantal meldingen die in de loop der jaren zijn gedaan.

Daarbij moet overigens wel voor ogen worden gehouden dat niet alle verwerkingen in ons land in dit register zijn opgenomen. De praktijk laat zien dat nogal wat bedrijven en organisaties deze meldplicht geheel of gedeeltelijk aan hun laars lapten. Daarnaast geldt dat enkele veelvoorkomende bestanden – bijvoorbeeld ledenbestanden van verenigingen, personeelsbestanden van werkgevers en openbare registers zoals het handelsregister – wettelijk van de meldplicht zijn vrijgesteld. Maar hoe dan ook, het register bestaat inmiddels ruim 16 jaar en het is een van de instrumenten uit het privacyrecht van de Wbp.

Verwerkingenregister
Onder de Algemene Verordening Gegevensbescherming (AVG), de Europese privacywet waaraan organisaties per 25 mei 2018 moeten voldoen, komt die meldplicht volledig te vervallen. De Europese wetgever heeft namelijk gekozen voor een andere insteek: bedrijven, overheden en organisaties moeten zelf een eigen verwerkingenregister maken. Je legt in dat register zelf de belangrijkste kenmerken vast, zoals de aard van de betrokken persoonsgegevens, het doel van de bestanden, de categorieën van partijen aan wie data verstrekt worden en een algemene beschrijving van de securitymaatregelen. Weliswaar moet je – indien gevraagd – jouw eigen register aan de Autoriteit Persoonsgegevens kunnen verstrekken, maar van een meldingenregister zoals dat nu nog onder de Wbp bestaat zal onder de AVG dus geen sprake meer zijn.

In de aanloop naar mei 2018 zijn talloze organisaties inmiddels druk bezig met het maken van zo’n intern register. In beginsel geldt deze registerplicht overigens niet voor bedrijven en organisaties met minder dan 250 werknemers, enkele uitzonderingen daargelaten.

Slachtoffer
Door de komst van de AVG gaat de meldplicht van verwerkingen per mei 2018 dus van tafel. Feitelijk is de thans formeel nog bestaande meldplicht daarmee een dode letter geworden. Het heeft momenteel dus nog maar weinig zin om meldingen van verwerkingen te doen. Sterker nog: op schending van de huidige meldplicht staat zelfs geen enkele sanctie of boete meer.

Dus: wie nu nog meldingen van verwerkingen bij de Autoriteit Persoonsgegevens doet is een overdreven formalist, een angsthaas of een naïef slachtoffer van een privacyadviseur die voor iedere melding die hij verzorgt enige honderden euro’s in rekening brengt. Geld verdienen met de dode letters uit het privacyrecht: het is een kwalijke zaak die helaas voorkomt. Het is schande, bijna crimineel. Daarom: neem alleen betrouwbaar te achten privacyadviseurs in de hand. Die hebben we in ons land gelukkig ook in overvloed.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht