Afgelopen week heeft de Europese Commissie een voorstel gepubliceerd om de AVG-lasten te verlichten voor het midden- en kleinbedrijf (MKB+). Het voorstel maakt deel uit van een groter pakket aan lastverlichting voor het MKB, een gevolg van het Draghi-rapport.

In dit artikel zet ik een paar kanttekeningen bij het voorstel. En doe ik ook een aantal voorstellen voor verdere lastenverlichting en een betere AVG.

Lastenverlichting voor alle bedrijven

Het voorstel komt erop neer dat het MKB+ (SME’s en SMC’s) geen verwerkingsregister van persoonsgegevens hoeven te hebben als zij aan twee voorwaarden voldoen:

• De organisatie moet minder dan 750 medewerkers hebben, en
• De gegevensverwerkingen mogen geen hoge risico’s voor de rechten en vrijheden van betrokkenen vormen. Het verwerken dan bijzondere persoonsgegevens vormt als zodanig geen hoog risico (denk bijv. aan een verzuimadministratie).

De ophoging van de grens van 250 naar 750 klinkt sympathiek, maar er zitten een paar haken en ogen aan. Ten eerste is het uitdrukkelijk niet zo dat de omvang van een organisatie een indicatie is voor mate van risico’s voor de rechten en vrijheden van betrokkenen.

Een fabriek met 800 mensen kan best alleen huis-tuin-en-keukenverwerkingen hebben, zoals een personeels- en sollicitantenadministratie, een verzuimadministratie, een systeem voor in- en uitklokken, toegangsbeveiliging en cameratoezicht op het terrein. Zo’n bedrijf scoort nog steeds laag op de ‘Schaal van Erg’. Omgekeerd kan een startup met 25 mensen een zeer risicovolle AI-verwerking van persoonsgegevens in de markt zetten.

Dus moet de focus van de Europese Commissie niet liggen op lastenverlichting naar het criterium omvang (MKB), maar op de hoogte van de risico’s die voortvloeien uit de verwerkingen van persoonsgegevens, ongeacht de grootte van de organisatie.

Een verplichting om een register van verwerkingen zonder grote risico’s in te richten vormt immers óók een onnodige kostenpost voor grote bedrijven. Onder art. 30 AVG moet zelfs het verjaardagslijstje van de afdeling in het verwerkingsregister worden opgenomen, als is dat evident onzinnig, of je nou een grote of kleine organisatie bent. Dus een risico-gebaseerde verplichting in art. 30 komt alle organisaties ten goede.

Britse bedrijven betalen

Het is nuttig om de historie van art. 30 AVG te beschouwen. Volgens de UK Data Protection ct 1984 mochten organisaties alleen persoonsgegevens verwerken met een registratie als ‘Data User’. De toenmalige toezichthouder Data Protection Registrar was geen overheidsinstantie maar privaat, dus Data Users moesten betalen voor hun registratiemelding. De huidige toezichthouder ICO van de overheid heeft deze beruchte ‘data protection fee’ gehandhaafd.

De Dataprotectie Richtlijn 95/46, voorloper van de GDPR/AVG, kende ook zo’n meldplicht, die in Nederland onderdeel werd van de Wet persoonsregistraties (Wpr) en latere Wet bescherming persoonsgegevens (Wpb) met vrijstellingen voor laag-risicoverwerkingen.

Mede daarom heette de toezichthouder Registratiekamer. In het voorstel voor een AVG van de Europese Commissie in 2012 werd de meldplicht vervangen door het verwerkingsregister. Doel: 2,5 miljard euro aan administratieve lasten voor het Europese bedrijfsleven besparen.

Echter, dat register van artikel 30 AVG bracht wel hoge nalevingskosten mee, alleen al voor het Nederlandse bedrijfsleven op 1 miljard euro per jaar schatting). Immers, de plicht geldt niet enkel de hoog-risico verwerkingen.

Cowboy of bureaucraat

Ik onderscheid vier categorieën:

1. cowboys: zonder verwerkingsregister;
2. window dressers: wel een verwerkingsregister, geen effectieve gegevensbescherming;
3. bureaucraten: volledig en bijgewerkt register, met enorme kosten;
4. realisten: wel  hoge-risico verwerkingen geregistreerd, geen ‘verjaardagslijstjes’

Geen enkele organisatie heeft een volledig verwerkingsregister, ook de bureaucraten niet! Veel personeelsgegevens zijn immers als ongestructureerde data (zoals in e-mail) niet goed te registreren. Bovendien is het gezien personeelsverloop en vele wijzigingen in organisaties en processen ondoenlijk om het register compleet en actueel te houden. Dus dit is slechte wetgeving, die de samenleving niet dient.

Ten slotte zit er nog een probleem met het kantelpunt (nu 250, straks 750 medewerkers). Als je groeit de grens passeert, dan moet je plotseling een volledig en actueel verwerkingsregister hebben. Zo’n organisatie komt onmiddellijk op een enorme bak achterstallig huiswerk.

Voorstel: afschaffing art. 30 AVG

Dat verwerkingsregister lijkt wellicht nuttig, maar slaat als verplichting de plank mis. Ooit begonnen om toezichthouders te faciliteren, is het een hele dure en lastige boekhouding geworden die niet effectief bijdraagt aan databescherming. Bovendien is het verwerkingsregister dubbelop, gezien de verplichting om gegevensverwerkingen te documenteren conform: artikel 35 (de DPIA).

Kortom, als de Europese Commissie écht iets wil doen aan lastenverlichting, dan ligt het schrappen van artikel 30 als verplichting voor de hand voor álle organisaties. Als organisaties toch een register met belangrijkste gegevensverwerkingen optuigen, prima, want een overzicht is nuttig. Toezichthouders moeten dan wat meer moeite moeten doen in handhaving, maar die kosten zijn peanuts vergeleken met de nalevingskosten van art. 30 AVG

Nog meer op de schop

Het is bizar dat organisaties discussies voeren over basale AVG-begrippen, zoals over het persoonsgegeven, wie verwerkingsverantwoordelijke is, en of een dienstverlener een verwerker is. Geregeld moet een expert uitkomst bieden. Alsof je tijdens het autorijden steeds je instructeur moet bellen om te vragen wat ‘links’ en ‘rechts’ is. Wetgeving waar zovelen mee in aanraking komen, zou makkelijker te begrijpen moeten zijn.

Verder is het naleving van de AVG selectief en verouderd. Hoofdstuk 4 AVG heeft zijn oorsprong in (ooit) goede ideeën, zoals de DPIA (Canada), de FG (Duitsland), privacy-by-design (ook Canada) en het verwerkingsregister (het Verenigd Koninkrijk). Maar  samenhang en belangrijke beheersmaatregelen van risico- en compliancemanagement ontbreken.

Daarom - voor nu - twee onderwerpen in de AVG die nodig op de schop moeten: de verwerker en de Functionaris voor de Gegevensverwerking (FG)

De Verwerker

Mijn eerste kandidaat voor vereenvoudiging van de AVG is het schrappen van het begrip ‘verwerker’ (art. 4, lid 8), want een volstrekt gedateerd concept. Het is bedacht om enkele dienstverlenende bedrijven - zoals het externe salarisadministratiekantoor en de drukkerij van direct-marketingpost - vrij te stellen van verplichtingen die wel golden voor hun klanten. Maar in een wereld van verregaande digitalisering en lange digitale waardeketens, is de ‘verwerker’ als lijdelijke partij die braaf doet wat de klant zegt steeds vaker een zeldzaamheid.

De meeste dienstverleners zijn zelf verwerkingsverantwoordelijke (en dus is er sprake van een derdenverstrekking die aan de regels van de doelbinding moet voldoen). Soms zijn ze zelfs met hun klant ‘gezamenlijke verwerkingsverantwoordelijke’, zoals in de uitspraken van het Europese Hof in de zaken van Fashion ID en Wirtschaftsakademie. (Waarbij mijn ervaring is dat het privacypersoneel van de klant in verwarring raakt, want controle delen met een andere partij voelt vaak niet goed).

Het is veel logischer om alle partijen verantwoordelijke te laten zijn voor de persoonsgegevens die zij verwerken. Professionele dienstverleners zijn prima in staat om de AVG na te leven. Sterker, zij hebben meestal meer middelen dan hun (MKB-)klanten. Dit houdt de dienstverleners ook scherp. De klant (de verwerkingsverantwoordelijke) heeft toch andere belangen dan de betrokkene (burger, klant). En twee paar ogen zien meer dan één.

Bovendien heeft de dienstverlener een datarelatie gekregen met de betrokkene, waarbij vraagstukken gaan spelen van secundair datagebruik, zoals het gebruik van gegevens voor training van AI-modellen. Het is niet meer vol te houden dat de betrokkene zo’n dienstverlener niet rechtstreeks mag aanspreken op de naleving van de AVG (behalve voor schade als gevolg van een datalek), tenzij je hem eerst als verwerkingsverantwoordelijke kwalificeert (wat een gang naar de rechter vereist, want de bewijslast van het tegendeel ligt bij de betrokkene c.q. de toezichthouder).

Daarmee is ook de verplichte verwerkingsovereenkomst en dus art. 28 AVG verleden tijd. Als partijen onderling afspraken willen maken over gegevensbescherming, ook prima. Maar als de dienstverlener zelf verwerkingsverantwoordelijke is en dus zelfstandig de AVG moet naleven, dan is zo’n overeenkomst niet meer per se nodig.

Functionaris voor de Gegevensbescherming

De volgende kandidaat voor vereenvoudiging van de AVG is het afschaffen van de verplichte Functionaris voor de Gegevensbescherming (FG, artikel 37-39 AVG). Ook hier hebben we te maken met een echo uit het verleden. De verplichte FG is een Duitse uitvinding uit 1977. Dat vinden we nog bijna woordelijk terug in de AVG, met één belangrijk verschil: waar in 1977 de FG de naleving van de wet moest “verzekeren” (“sicherzustellen”) moet de FG volgens de AVG alleen maar “toezien” op de naleving van de AVG.

Echter, het moderne risicomanagement van grotere organisaties gebruikt het three lines model van het Institute of Internal Auditors:

• De eerste lijn levert de producten en diensten van de organisatie en omvat de ondersteunende diensten zoals HR en Inkoop. De eerstelijnsmanagers zijn - onder de eindverantwoordelijkheid van het bestuur - verantwoordelijk voor de naleving van wet- en regelgeving in hun processen.
• De tweede lijn ondersteunt de eerste lijn bij onder meer de naleving van de wet door het opstellen van beleid en procedures en (het bieden van deskundigheid bij) het uitvoeren van risicoanalyses (DPIA’s), zoals in ons vak hebben de (Chief) Privacy Officer en de privacyjurist. De tweede lijn bewaakt ook de kwaliteit van risicomanagement en compliance.
• De derde lijn houdt toezicht en geeft advies over (compliance-)governance en risicomanagement. De derde lijn (audit) is onafhankelijk, heeft vrije toegang tot informatie en middelen, en legt verantwoording af aan het bestuur.

De FG heeft conform de AVG derdelijnsrol, met een rol jegens het bestuur van de organisatie. Maar samen met de (Chief) Privacy Officer, de privacyjurist en de (C)ISO zit de FG in de categorie beheersmaatregelen ‘Deskundige Adviseurs’ (en zo lijkt het Duitse idee uit 1977 ook ooit bedoeld).

Maar wat aanrotzooien

De AVG houdt geen rekening met het Three Lines Model. De taken van de FG en die van de tweede lijn overlappen in de taakbeschrijving van de FG (bijv. training en voorlichting). En niet alleen de FG moet “deskundig” zijn, de (Chief) Privacy Officer, de privacyjurist en de (C)ISO zijn dat logischerwijze ook. Tijdens de totstandkoming van de AVG heb ik er al voor gepleit dat de FG geen persoon zou moeten zijn, maar een functie. De FG-rol kan in het licht van het Three Line Model immers prima ingevuld worden door Audit (intern of extern).

Dat zorgt voor consistentie in de adviezen van Audit aan het bestuur. Nu lopen organisaties nog het risico dat Audit en de FG niet op één lijn zitten en een heuse turf war. Bovendien is Audit, net als het accountantsvak, veel meer gereguleerd dan het FG-vak. Sommige FG’s doen maar wat, de goeien niet te na gesproken. Wellicht met de beste bedoelingen, maar je kan het nog geen volwassen vak noemen. Als een auditor of accountant zich net zo zou gedragen als sommige FG’s, zouden de rapen gaar zijn. Ook slechte FG’s voelen zich - ten onrechte overigens - gedekt door de ontslagbescherming en de toezichthouder.

Bovendien, ik ken geen enkel ander Europees grondrecht met een eigen verplichte toezichthouder. We kennen geen verplichte Non-Discrimination Officers (artikel 21 EU Handvest), geen verplichte Free Speech Officers (art. 11 EU Handvest), en ook geen verplichte Unjust Dismissal Officers (artikel 30 EU Handvest). Waarom dan wel de FG?

Toezicht is een functie, geen persoon. Het maakt in een organisatie niet zo bar veel uit waarop je toezicht houdt. De Auditfunctie is de aangewezen functie om iets te roepen over dingen die misgaan in de organisatie en dat onder de aandacht van het bestuur te brengen. Of het nou gaat om arbeidsomstandigheden, milieu- of databescherming.  Zolang er iemand met verstand van de AVG in zo'n Auditfunctie rondloopt, is het eigenlijk prima. Bijkomend voordeel is dat het dan geen solitaire functie meer is.

We moeten dus af van het ‘FG-fetisjisme’ van de AVG en naar een volwassener model van compliancemanagement conform het Three Lines Model. En heeft een organisatie geen Auditfunctie, prima om dan een FG aan te stellen. Maar laten we wel wezen, als je geen Auditfunctie hebt, bijvoorbeeld als MKB-bedrijf, dan is een FG waarschijnlijk overkill. Dan is het inschakelen van een adviseur voldoende.

Ik heb nog een heleboel andere ideeën voor verbetering van de AVG, maar ik laat het voor nu even hierbij.

*) Jeroen Terstegge is privacy-expert, werkzaam voor PMP in Utrecht. Een versie van dit artikel verscheen op LinkedIn