Ik heb het Conceptwetsvoorstel transparantie maatschappelijke organisaties nog maar eens doorgelezen om mezelf te overtuigen dat het er toch echt staat. Samengevat komt het neer op het volgende:
- Alle maatschappelijke organisaties (inclusief kerken)
- Moet binnen zes maanden na afloop van het boekjaar
- Een overzicht van elke donatie van meer dan EUR 15.000 (of indien meerdere giften van dezelfde donateur in totaal meer dan EUR 15.000 bedragen)
- Voor alle donaties in geld of in natura
- Publiceren op de website van de organisatie
- Waar het voor een periode van 7 jaren rechtstreeks en permanent toegankelijk moet zijn
- Onder vermelding van naam en woonplaats van de donateur
Ik weet het, al verschillende mensen en platforms uit de goede doelen sector hebben hun – wat mij betreft terechte – verontwaardiging over dit voorstel uitgesproken. De internetconsultatie heeft inmiddels ook de nodige reacties opgeleverd. Ook wil ik het niet zozeer hebben over de impact die dit wetsvoorstel – als het aangenomen zou worden door de Tweede en Eerste Kamer – heeft op de geefbereidheid en op de inkomsten van goede doelen, maar wil hieronder kort stilstaan bij de onbegrijpelijke discrepantie die de overheid zelf initieert tussen deze Transparantiewet en de Algemene Verordening Gegevensbescherming (AVG). Dit punt werd kort benoemd tijdens de uitzending van Buitenhof op 10 februari jl. maar verdient wat uitdieping.
Ga maar na. In 2017 en 2018 zijn goede doelen heel druk geweest met de invoering van de AVG. Een greep uit de maatregelen: Een verwerkingsregister opstellen, toestemmingen beter documenteren of specifieker uitvragen, een proces inrichten voor het tijdig afhandelen van de rechten van betrokkenen, risico inventarisaties uitvoeren, verwerkersovereenkomsten beoordelen (of soms opstellen), processen aanscherpen rond autorisatie voor netwerk en applicaties, beveiliging van de website, een proces voor de beoordeling en eventueel melding van datalekken en om niet meer te noemen, de bewustwording van de medewerkers. Kortom, goede doelen organisaties hebben veel energie en capaciteit gestoken in het implementeren van de Verordening.
En net als dat stof wat begint te dalen en iedereen naar de Autoriteit Persoonsgegevens kijkt en de handhaving beoordeelt, komt de overheid met een nieuwe ingrijpende wet voor de goede doelen. De inkt van de Privacy statements is nog niet droog, of de overheid haalt zelf onderdelen van de net geïmplementeerde AVG onderuit.
- Organisaties hebben vastgesteld en gedocumenteerd hoe ze met de persoonlijke gegevens van donateurs omgaan. Daarbij heeft een afweging plaatsgevonden welke medewerkers toegang mogen hebben tot welke gegevens. Immers, wat hebben projectmedewerkers te maken met de donateurgegevens? Dit wetsvoorstel gaat de meest gevoelige gegevens, nl. die van grote donateurs publiek maken. Niet alleen de medewerkers, maar de hele wereld kan kennisnemen welke donateurs welke bedragen hebben gegeven voor welke doelen.
- Publicatie op het internet is de meest vergaande vorm van openbaarmaking. Immers, de hele wereld kan meelezen en door Google indexering kan het zoeken ook nog heel efficiënt en gericht. Het publiceren van persoonlijke gegevens op internet, anders dan door de persoon zelf openbaar gemaakt, mag onder de AVG praktisch gezien alleen op grond van toestemming. Maar toestemming is in deze situatie niet van toepassing, want ook bij het ontbreken ervan is de organisatie verplicht zich aan de wet te houden. Dus verwerking op basis van de grondslag zoals genoemd in art. 6.1.c (verwerking om te voldoen aan een wettelijke verplichting).
- Maar heeft de overheid dan geen boodschap aan de AVG? Immers, de maatregelen die vanuit de AVG voortvloeien, hebben altijd de proportionaliteit ten aanzien van het ingeschatte risico in zich. Er moet een afweging gemaakt worden tussen de maatregelen en de risico’s. De vraag rijst welk risico ontstaat voor de betrokkenen van wie de donaties, naam en woonplaats worden bekendgemaakt. En voor het antwoord is niet veel fantasie nodig. Het varieert van gerichte benadering van betrokken donateur door andere fondsenwervers tot afpersing of chantage. En alles daar tussenin.
- Wat doet dit met de bewustwording van medewerkers? Ze zijn net allemaal getraind in het nog zorgvuldiger omgaan met persoonlijke gegevens, en vanuit dat denkkader is het plaatsen van persoonlijke gegevens van notabene de grote donateurs op internet ondenkbaar. Met dit wetsvoorstel doorkruist de overheid dit zelf op grove wijze. Een rechtgeaarde FG’er zou de directie adviseren om een medewerker die op eigen initiatief donateurgegevens zou openbaarmaken, op staande voet te ontslaan. Nu lijkt de overheid dit te gaan afdwingen…
- Curieus vind ik ook art. 2.5 in het wetsvoorstel wat gaat over publicatie op de website. “Indien de maatschappelijke organisatie niet over een website beschikt”. Hoezo geen website? Is er dan geen verplichting voor ANBI’s om een website te hebben en daar gegevens op te publiceren?
- Het wetsvoorstel wordt bijna hilarisch als de Kamer van Koophandel ten tonele wordt gevoerd. In het denkbeeldige geval dat er geen website is, dan moeten deze donateurgegevens namelijk worden overhandigd aan de KvK door deponering bij het handelsregister. Iedereen die de gespannen verhouding tussen de Autoriteit Persoonsgegevens en de KvK heeft gevolgd wrijft hier zijn ogen uit. Gaat de KvK deze gegevens dan ook weer verkopen, wat ze met andere gegevens ook heeft gedaan? Ik weet dat dit gegevens van organisaties betreft, maar ik vermoed dat heel veel grote donateurs wel een BV of een andere rechtspersoon op hun adres hebben staan.
Er is meer te noemen, maar ik wil nog iets vooruitblikken op waar de discussie volgens mijn interpretatie van de AVG om moet gaan. In art. 23 van de AVG wordt ingegaan op beperkingen die landen mogen opleggen aan de reikwijdte van specifieke bepalingen in de AVG. Ook Grond 73 gaat hierop in. Daarbij zijn de volgende punten naar mijn mening van belang:
- De beperking moet de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laten;
- Het moet een noodzakelijke en evenredige maatregel zijn;
- De voorbeelden gaan over ‘nationale veiligheid’, ‘landsverdediging’, ‘openbare veiligheid’, ‘voorkoming, onderzoek, opsporing en vervolging van strafbare feiten’, etc. Dat zijn nogal ingrijpende fenomenen met grote impact;
De hamvraag is dan: is deze maatregel noodzakelijk en evenredig? En respecteert het de fundamentele rechten en vrijheden? Dat is voer voor juristen. In mijn beleving dringt hier de ‘sleepnet’ discussie zich op. Moet onder het mom van transparantie zo’n ingrijpende maatregel van algemene toepassing worden? Zijn er geen andere middelen denkbaar die effectiever zijn en het OM de nodige informatie verschaft om tot onderzoek over te gaan. Ook daarvoor zijn al vele suggesties gedaan. Wat mij betreft is de vraag stellen hem tegelijk beantwoorden.
Ik hoop dat het gezonde verstand in Den Haag zegeviert. Wellicht dat Aleid Wolfsen eens een bak koffie moet gaan drinken met Sander Dekker. Een straffe bak, wat mij betreft.
Volkomen eens met uw opmerkingen: dit wetsvoorstel moet zo niet worden ingediend. Maarehet komt er wel binnenkort zo is recent aan de 1ste Kamer meegedeeld. Of de massale kritiek (inderdaad niet alleen betrekking hebbend op privacy, de invloed op de geefbereidheid lijkt het meest belangrijke) dan tot een ontwerp zal leidend at rekening houdt met deze kritiek? Dat valt af te wachten. In de marge in verband met uw vraag 5: het begrip maatschappelijke organisatie is ruimer dan ANBI. er zullen zeker bijv. vermogensfondsen zijn die niet de ANBI status hebben,en ook geen website hoeven te hebben.