Privacy opnemen in het jaarverslag. Verstandig of wellicht toch niet?

27 december 2023, laatst geüpdatet 11 september 2024
De Autoriteit Persoonsgegevens bracht onlangs twee handreikingen uit. Het eerste gaat over aandacht voor privacy in jaarverslagen. Het tweede is gericht op toezichthouders in de raad van commissarissen of raad van toezicht van een onderneming. Hierin roept de AP onder meer op om aandacht te schenken aan privacy in het jaarverslag. Is dit nu verstandig?
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel

Twee Sinterklaascadeaus van de AP

De beide handreikingen zijn beide gepubliceerd op 5 december 2023, op Sinterklaas dus. De beide handreikingen staan los van elkaar, maar raken wel aan hetzelfde thema: privacycompliance.

Handreiking jaarverslagen: voor wie?

De handreiking over jaarverslagen is volgens het nieuwsbericht van de AP gericht op "grote bedrijven". De AP maakt niet duidelijk wat zij hieronder verstaat.

Mogelijk sluit de AP hierbij aan bij het jaarrekeningenrecht en spreken we dus (zie artikel 2:397 BW) over een onderneming die voldoet aan twee of meer van de volgende eisen (geconsolideerd):

  • Balanstotaal groter dan € 20.000.000
  • Netto-omzet groter € 40.000.000
  • Meer dan 250 fte

Dat zou ook wel logisch zijn nu immers kleinere (niet-grote) ondernemingen in beginsel zijn vrijgesteld van diverse jaarverslagverplichtingen (vgl. artikel 2:397 lid 8 BW).

Van de 2,3 miljoen ondernemingen behoort maar een fractie tot deze categorie. De handreiking is in die zin maar op slechts een fractie van de bedrijven in Nederland gericht.

Overigens wordt in de tekst van de handreiking zelf niet meer expliciet benoemd dat deze slechts voor grote ondernemingen bedoeld zou zijn.

Handreiking jaarverslagen: wat moet er in?

De AP ziet graag dat de volgende vijf elementen over privacy terugkomen in jaarverslagen:

  1. visie en ethiek: hier verwacht de AP een eigen formulering van het bedrijf op de eigen visie en ethische principes inzake privacy;
  2. ontwikkelingen binnen en buiten het bedrijf: hier verwacht de AP een beschrijving van en visie op ontwikkelingen die van invloed (kunnen) zijn op de verwerkingen van persoonsgegevens binnen het bedrijf;
  3. terugkijkend: hier verwacht de AP een duiding van het volwassenheidsniveau van het bedrijf op het gebied van privacy, bijv. aan de hand van een model;
  4. vooruitkijkend: hier verwacht de AP een beschrijving van de plannen om het bedrijf volwassener te laten worden op het vlak van privacy;
  5. risico's en bedreigingen: hier verwacht de AP een beschrijving van privacyrisico's die binnen het bedrijf spelen.

Verderop in de handreiking geeft de AP voorbeelden van hoe dit uit te werken. Per element zou een kwart tot een half A4 aan tekst benodigd zijn. Dat betekent dus dat in de visie van de AP privacy 1¼ tot 2½ pagina's van het jaarverslag zou moeten beslaan.

Handreiking jaarverslagen: is het verplicht?

De AP schrijft in de handreiking - terecht - dat het niet verplicht is de informatie in het jaarverslag op te nemen.

Handreiking jaarverslagen: is het verstandig?

De veel strategischer vraag is of het verstandig is het jaarverslag uit te breiden met deze informatie. Dat lijkt toch een vrij paradoxale kwestie.

Bedrijven die hun privacycompliance op orde hebben doen er vermoedelijk verstandig aan dit in hun jaarverslag te vermelden. Zo stralen zij immers uit 'in control' te zijn en handelen zij ook in lijn met de aanbeveling van de toezichthouder.

Bedrijven die hun privacycompliance niet op orde hebben komen in een rare "catch 22" terecht. Want zolang de AP geen helderheid geeft over hoe zij omspringt met de informatie in jaarverslagen, bestaat de kans dat je het nooit goed genoeg doet. Zie deze visuele weergave:

Privacycompliance op orde Privacycompliance niet op orde
Verbeteringen in zicht / continu aandacht voor privacy Dit is de enige 'sweet spot': het nu op orde hebben en er voortdurend mee bezig zijn. De vraag is of de AP de geplande verbeteringen goed genoeg vindt
Geen verbeteringen / geen continu aandacht voor privacy Toegeven dat privacy niet voortdurend de aandacht heeft is welhaast vragen om handhaving, ook al is het nu op orde Erkennen dat het niet op orde is, maar er ook niets aan doen is welhaast vragen om handhaving

Hierbij zij trouwens wel aangetekend dat de AP in een van de voorbeelden spreekt over het verbeteren van het volwassenheidsniveau van een organisatie. Dat doet denken dat het (dus) wat de AP betreft is toegestaan om de privacycompliance nog niet op orde te hebben (nog niet "volwassen") te zijn, zolang de organisatie maar met verbeteringen bezig is.

Expliciet staat dit er echter niet. En juist omdat de AP er wel een handje van heeft soms opeens met handhaving een (nieuw) thema op de kaart te zetten (denk aan de beleidsregels zieke werknemer die met handhaving bij Abrona op de kaart werden gezet of de normuitleg gerechtvaardigd belang die met boetes bij VoetbalTV en KNLTB op de kaart werden gezet), zou ik niet op de goede wil van de AP willen gokken in deze. Vandaar toch maar het (licht)rood in het schema.

Al met al zal er voor veel bedrijven dus weinig 'incentive' zijn aandacht aan de thematiek te geven, tenzij de AP zich expliciet uitspreekt dat zij bedrijven die ten minste met verbeteringen bezig zijn niet direct zal aanpakken.

Handreiking RvC- en RvT-leden

De tweede handreiking is gericht op leden van raden van toezicht of raden van commissarissen.

Handreiking RvC- en RvT-leden: FG als hoofdvraag

Opvallend is dat deze handreiking er vanuit gaat dat veel organisaties een functionaris gegevensbescherming (FG) zullen hebben. Het naleven van de FG verplichtingen wordt namelijk als 'hoofdvraag 1" aangemerkt.

Het is echter maar zeer de vraag of alle organisaties met een RvT of RvC een FG moeten hebben. Een FG is immers op grond van artikel 37 AVG verplicht voor (a) overheidsinstanties, (b) bij grootschalige stelselmatige observatie of (c) bij grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens. Lang niet alle (grote) bedrijven houden zich daarmee bezig.

Handreiking RvC- en RvT-leden: jaarlijks reflecteren met FG?

Een ander opvallend punt is dat de AP in de handreiking de toezichthouders (RvT-/RvC-leden) expliciet oproept om de FG jaarlijks uit te nodigen voor de vergaderingen om te reflecteren op diens positie en de samenwerking tussen de FG en de organisatie.

De FG is namelijk op grond van artikel 38 lid 5 AVG en artikel 39 UAVG met betrekking tot de uitvoering van zijn (FG-) taken tot geheimhouding gehouden. Dit wordt ook in richtlijnen van de privacytoezichthouders nog eens benadrukt.

Zie in dat kader ook rechtspraak van het HvJEU (ECLI:EU:C:2022:495 en ECLI:EU:C:2023:79) waarin het Hof de functionele onafhankelijkheid van de FG benadrukt.

Het is maar zeer de vraag of de FG dus wel met de interne toezichthouders mag reflecteren op zijn positie. De FG komt althans mogelijk heel snel in een rare 'squeeze' terecht waarbij de vragen van de toezichthouders schuren met zijn eigen geheimhoudingsplicht. Dit lijkt niet echt goed doordacht in de handreiking.

Handreiking RvC- en RvT-leden: aantoonbare privacynaleving

De handreiking vervolgt met vragen die kunnen worden gesteld om te toetsen of de privacywetgeving aantoonbaar wordt nageleefd.

Opvallend is dat veel van de vragen gaan over het identificeren en beperken van risico's (dus voorkomen dat het misgaat). Voordat je aan risicopreventie toekomt is m.i. echter de voorvraag of de rechtmatigheid van de verwerkingen überhaupt geborgd is. Die vraag wordt niet gesteld. Zo wordt er bijv. wel gevraagd naar het verwerkingsregister, maar niet naar de vraag of de daarin beschreven verwerkingen ook op rechtmatigheid zijn getoetst.

De openingsvraag in de handleiding vraagt of de zorg voor medewerkers en klanten zich uitstrekt tot de digitale wereld en of iedereen in de organisatie daartoe intrinsiek is gemotiveerd. Ook wordt gevraagd of de zorg voor privacy onderdeel is van de visie en vervat is in de kernwaarden. Een wat vaag geformuleerde set vragen wat mij betreft. Te meer ook nu de AVG niet verplicht tot het hebben van intrinsiek gemotiveerde medewerkers, noch tot het hebben van een privacyvisie of tot het vervatten van privacy in de kernwaarden.

Als vierde vraag komt aan de orde of persoonsgegevens mogelijk in te zien zijn van buiten de EER. Die vraag wordt gesteld in de context van de strenge regels over gegevensexport. Opmerkelijk is echter dat inzage van buiten de EU helemaal niet per se onder die strenge regels hoeft te vallen. Juist uit een recente publicatie van toezichthouders volgt dat o.m. remote werken (waarbij gegevens buiten de EER toegankelijk zijn) niet valt onder die regels. Deze vraag kan dus al snel tot misverstanden leiden.

In de vijfde vraag wordt transparantie opnieuw benadrukt. Dat sluit aan bij de gelijktijdig gepubliceerde handreiking over jaarverslagen.

Slotopmerkingen

De AP lijkt met de handreikingen privacy op de kaart te willen zetten bij de grote(re) ondernemingen. Of dat op deze wijze helemaal lukt is maar de vraag. Het geheel komt niet helemaal volledig doordacht over en brengt juist eerder wat catch 22 afwegingen aan de oppervlakte die juist eerder tot niets doen dan tot iets doen zullen leiden.

Opvallend is verder dat in het jaarplan 2024 er juist niets is opgenomen over toezicht bij grote(re) ondernemingen. Als de AP zich aan het eigen jaarplan houdt, dan lijkt toezicht op grote(re) ondernemingen (behoudens big tech) dus juist geen prioriteit te krijgen. Dat roept eens te meer de vraag op waarom juist nu de handreikingen zijn gepubliceerd.

Vergeet echter niet: met of zonder handreiking, voorop staat dat de privacywetgeving moet worden nageleefd. Er staat zelfs expliciet in de AVG een verantwoordingsplicht opgenomen (artikel 5 lid 2 AVG / artikel 24 AVG). In die zin heeft de AP ook zonder dit soort handreikingen al een duidelijke stok om mee te slaan. Zorg er dus voor dat u als organisatie uw processen aantoonbaar op orde heeft. Mocht u daar vragen over hebben, neem dan gerust contact op.