Europese Commissie werkt aan versoepeling van de AVG: einde aan de complexiteit voor het mkb?

Achtergrond

De Europese Commissie (Commissie) bereidt een wetgevingspakket voor waarmee diverse onderling samenhangende regelgevingen, waaronder de Algemene verordening gegevensbescherming (AVG), worden herzien. De geplande versoepelingen moeten de organisaties beter in staat stellen om aan de regels van de AVG te voldoen, zonder buitenproportionele kosten en administratieve lasten. De Europese privacytoezichthouders (EDPB en EDPS) hebben voorlopige steun toegezegd, rekening houdend met het feit dat de basisdoelen van de AVG niet worden aangetast. Sinds 25 mei 2018 is de AVG van toepassing binnen de EU. De verordening beoogt een hoog beschermingsniveau voor persoonsgegevens en legt organisaties stevige verplichtingen op. Hoewel het belang van deze wetgeving voor de bescherming van privacy onmiskenbaar is, wordt de praktische uitvoering ervan als belastend ervaren, met name door het mkb. Dat komt niet alleen door de inhoudelijke eisen, maar ook doordat de AVG open normen bevat en per lidstaat verschillend wordt geïnterpreteerd. Organisaties die grensoverschrijdend opereren, lopen daarmee tegen uiteenlopende interpretaties van toezichthouders aan. De AVG wordt inmiddels gezien als een van de meest complexe Europese wetgevingen. Daarom is de Commissie van plan om de regelgeving te verbeteren en de AVG te vereenvoudigen.

Europees perspectief

Vanuit de Europese hoek zijn zorgen over de complexiteit van de AVG ook hoorbaar. De Deense Minister van Digitalisering en Gendergelijkheid heeft gezegd dat het gemakkelijker moet worden voor bedrijven om te voldoen aan de regels en Michael McGrath (eurocommissaris voor Justitie) bevestigde de noodzaak tot ondersteuning voor kleine en middelgrote organisaties. In september 2024 noemde oud-premier van Italië, Mario Draghi, de AVG als voorbeeld van regelgeving die te strikt is en te gefragmenteerd is geïmplementeerd in de lidstaten, als een van de oorzaken waardoor Europa’s technologische voorsprong in gevaar zou zijn. Tegelijkertijd zijn er zorgen over de vereenvoudiging van de AVG. Zo waarschuwt EDRi-beleidsadviseur Itxaso Domínguez de Olazábal dat versoepeling van de verordening (weer) ruimte kan bieden aan lobbydruk die de AVG op termijn kan uithollen. Ook privacy activist Max Schrems stelt dat de AVG een doelwit is voor lobbyisten, maar benadrukt dat de basis van het gegevensbeschermingsrecht stevig is verankerd in het Handvest van de grondrechten van de EU. Er is zelfs een open brief gepubliceerd door EDRi, onder andere namens maatschappelijke organisaties en academici, waarin zij de zorgen over de versoepeling van de AVG kenbaar maakt. Zij geeft onder andere aan dat met de versoepeling van de AVG een zorgwekkend signaal wordt afgegeven, namelijk dat de geloofwaardigheid van de EU wordt aangetast en dat fundamentele rechten vervangbaar zijn indien het om economische belangen gaat.

Wat ligt er concreet op tafel?

Een van de door de Commissie voorgestelde aanpassingen betreft de versoepeling van artikel 30, lid 5 AVG, namelijk het bijhouden van een verwerkingsregister. Organisaties zijn nu nog op basis van dit artikel verplicht hun verwerkingen bij te houden in een verwerkingsregister. Organisaties met minder dan 250 werknemers zijn in beginsel uitgezonderd van deze verplichting, tenzij sprake is van een structurele verwerking van persoonsgegevens. De uitzondering is evenmin van toepassing indien de gegevensverwerking waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen, of indien sprake is van verwerking van bijzondere categorieën van persoonsgegevens. De Commissie stelt voor om het toepassingsgebied van de uitzondering uit te breiden naar organisaties met minder dan 750 medewerkers. Ook beoogt het voorstel van de Commissie de uitzondering van de uitzondering te beperken. De uitzondering geldt niet voor situaties waarin de verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Waar in de huidige tekst van de AVG wordt gesproken over ‘risico’, wordt in het nieuwe voorstel uitsluitend uitgegaan van ‘hoog risico’. De lat wordt dus hoger gelegd en in de praktijk betekent dit dat verwerkingen die wel enig risico inhouden, maar geen hoog risico vormen, voortaan vallen onder de versoepeling. Deze versoepelingen kunnen het mkb de nodige verlichting bieden, maar elke medaille heeft een keerzijde. Hoewel het verlichten van verplichtingen voor het mkb begrijpelijk is, leidt dit er ook toe dat hun verantwoordingsplicht afneemt. Doordat verwerkingen minder vaak hoeven te worden vastgelegd, wordt toezicht op naleving lastiger en kan het beschermingsniveau van betrokkenen dalen. Zonder vastlegging of documentatie is het bovendien moeilijker voor betrokkenen om hun rechten, zoals correctie of inzage, uit te oefenen.