Column


IT-jurist Peter van Schelven over...

Een nieuwe registerplicht: mist en onzekerheid

De Algemene Verordening Gegevensbescherming – de officiële naam van de nieuwe Europese privacywetgeving die onlangs in mei in werking is getreden – heeft het privacyrecht niet makkelijker gemaakt. Zoals SecurityVandaag al eerder berichtte, moeten bedrijven, overheden en andere organisaties met ingang van 28 mei 2018 aan tal van nieuwe wettelijke regels voldoen. 

Veel partijen in de samenleving zijn inmiddels aan de slag gegaan met de implementatie van maatregelen om tijdig aan de verordening te kunnen voldoen. Dat is geen sinecure want de Europese wetgever heeft de samenleving op onderdelen met een kluitje in het riet gestuurd. 

Tijd en geld 
Dat geldt bijvoorbeeld voor de nieuwe zogeheten ‘registerplicht’. Die verplichting komt er – kort gezegd – op neer dat bedrijven, overheden en organisaties zelf schriftelijk de belangrijkste eigenschappen van hun verwerkingen van persoonsgegevens dienen vast te leggen. Aan de inhoud van dergelijke interne registers wordt door de Europese verordening een fors aantal eisen gesteld. Belangrijk is bijvoorbeeld dat een register, indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bevat. Dat maakt een systematische inventarisatie en beschrijving van de securitymaatregelen dus noodzakelijk. De verordening bepaalt dat een register op verzoek aan de nationale toezichthouder – in Nederland is dat de Autoriteit Persoonsgegevens – moet worden verstrekt. Wie de registerplicht serieus wil nemen, zal daar dus tijd en geld in moeten steken. 

De nieuwe registerplicht vervangt de thans nog bestaande meldplicht voor verwerkingen. Onder de Wet bescherming persoonsgegevens is het momenteel zo dat je als bedrijf of organisatie verwerkingen op voorhand moet melden bij de nationale toezichthouder. Wanneer je als bedrijf onder het toezicht van een formeel aangestelde Functionaris Gegevensverwerking (FG) valt, mogen de verwerkingen ook aan zo’n FG worden gemeld. De namen van FG’s vind je in het openbare register dat de AP op haar site heeft gepubliceerd. De officiële gedachte achter deze meldplicht is dat met een melding de transparantie van de verwerking van persoonsgegevens is gewaarborgd.

Formulier-fetisjisme 
Deze meldplicht heeft in de afgelopen jaren echter geleid tot een oeverloze en weinig vruchtbare stroom van papieren en digitale meldingen, zelfs ondanks het bestaan van een ruimhartige wettelijke vrijstelling van de meldplicht voor enkele veelvoorkomende administraties, zoals leden- en personeelsbestanden. Het privacyrecht is door de meldplicht inmiddels uitgegroeid tot een weinig verheffende vorm van formulier-fetisjisme. 

Pijn voor mkb 
Waar zit nu de pijn in de nieuwe registerplicht? Die zit vooral in het feit dat niet duidelijk is wie precies onder deze plicht valt. Die duidelijkheid is er wel voor partijen met meer dan 250 werknemers, want zij moeten altijd een register aanleggen en bijhouden. Maar in het streven van de Europese wetgever om de mkb-sector te ontzien, zijn de regels plotsklaps vaag geworden. Voor bedrijven en organisaties die minder dan 250 personen in dienst hebben, bestaat er weliswaar geen registerplicht, maar die regel is niet absoluut. Er zijn dus uitzonderingen. 

De verordening zegt namelijk dat mkb’ers weer wel een register moeten aanleggen als ‘het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen’ of als ‘de verwerking niet incidenteel’ is. Dit zijn letterlijke teksten uit de verordening. Wie deze tekst snapt, mag het mij komen uitleggen! Het vage taalgebruik van de Europese wetgever is het directe gevolg van zware lobby die vanuit kringen van belanghebbenden in Brussel is gevoerd.

De wetgever heeft mkb’ers in Europa dus met nauwelijks beantwoordbare vragen opgezadeld. Want wanneer is een verwerking eigenlijk ‘niet incidenteel’? Als zzp’er werk ik slechts nu en dan mijn computerlijstje met zakelijke contacten bij. Is dat bestandje daardoor incidenteel of niet? Of verliest het zijn incidentele karakter omdat ik het bestandje langere tijd onder mij heb? Moet ik nu wel of niet een register aanleggen? 

Varen in mist 
Of wat te denken van een congresorganisatie met zestig medewerkers, die in 2019 een bestand met contactgegevens van deelnemers van een eenmalig cybercrimecongres maakt? Is het waarschijnlijk dat zo’n verwerking een privacyrisico voor de deelnemers inhoudt? Beantwoord je die vraag met ‘ja’, dan geldt een registerplicht. Is het antwoord nee, dan geldt het omgekeerde. Ik vermoed dat weinigen het definitieve antwoord weten. Zo wordt het dus varen in de mist van het Europese privacyrecht.

Er is nog een derde uitzondering. Een mkb’er wordt volgens de verordening geacht ook een register bij te houden als hij bijzondere categorieën van persoonsgegevens, bijvoorbeeld medische of politieke gegevens, of strafrechtelijke gegevens van personen verwerkt. Ook daar valt nog veel over te zeggen.

Gedocumenteerde besluitvorming
Duidelijk is wel dat onzekerheid troef is. Juist daarom zullen mkb’ers die geen register willen aanleggen, later – als ooit de toezichthouder op de stoep mocht staan – goed moeten kunnen uitleggen waarom die keuze in hun concrete geval gerechtvaardigd is. Zorgvuldig opgestelde en gedocumenteerde besluiten op directieniveau kunnen daarbij helpen. Wanneer je louter uit nonchalance nalaat een register aan te leggen, sta je sowieso 1-0 bij de toezichthouder achter. Kortom, het is geen overbodige luxe als u zich eens over uw eigen registerplicht buigt.


Lees meer over