Op 29 juni heb ik mee gedaan aan de internetconsultatie over de toekomst van het handelsregister met onderstaande reactie, die ook als pdf is te downloaden en die op de consultatiesite is te vinden:

Consultatiedeelname

Aan: Ministerie van Economische Zaken en Klimaat
Van: Ellen Timmer, ellen.timmer@pellicaan.nl,
blog: https://ellentimmer.com/ (verbonden aan Pellicaan Advocaten)
Datum: 29 juni 2021
Onderwerp: consultatie Datavisie Handelsregister, aangekondigd op https://www.internetconsultatie.nl/datavisie

 

Mijne dames en heren,

Hierbij maak ik gebruik van de mogelijkheid om op persoonlijke titel deel te nemen aan de consultatie Datavisie Handelsregister.

Ik hoop dat u acht zult slaan op deze consultatiereactie.

Met vriendelijke groet,
Ellen Timmer

 

INHOUD:
Algemene inleiding
Datavisie handelsregister
Beperking in de registratie van gegevens
Beperking in de openbaarheid van gegevens
Bulklevering aan datahandelaren
Reconstructie van het ubo-register
Tot slot

 

Algemene inleiding

Het handelsregister en het kadaster zijn ontstaan in een niet-digitale tijd toen niet nagedacht werd over de privacy- en cybersecurity-risico’s verbonden aan dergelijke registers. De huidige tijd is volledig anders en burgers lopende toenemende risico’s door alle registraties, onder meer de datalekken bij overheden [1] en bedrijven [2], maar ook ondervinden zij hinder het gebruik van de gegevens door advertentie- en marketingbedrijven.

De afgelopen tijd zijn er al maatregelen om misbruik en hinder te voorkomen. Zo worden de adressen van statutair bestuurders van rechtspersonen standaard afgeschermd [3]. Dat is echter niet genoeg zoals uit de klachten van bijvoorbeeld zzp’ers kan worden afgeleid die nadeel ondervinden van de doorverkoop van gegevens aan datahandelaren.

Datavisie handelsregister

Het handelsregister bevat gegevens op basis van wettelijke regelingen, zoals op grond van de handelsregisterwet.

Het register is onverminderd nuttig in het economisch verkeer, maar er zijn wel aanpassingen nodig. Die aanpassingen zijn naar mijn mening prima mogelijk binnen de wettelijke kaders respectievelijk met beperkte aanpassingen.

De aanpassingen kunnen worden verdeeld in:

* Verandering van de aard van de gegevens die geregistreerd worden.
* Wijziging in de openbaarheidsregels.
* Afschaffing van de doorlevering van bulkgegevens aan commerciële partijen, uitgezonderd specifiek geregelde situaties.
* Ingrijpende wijziging van de regelgeving inzake het ubo-register.

Beperking in de registratie van gegevens

Het type gegevens dat in het handelsregister wordt vastgelegd dient kritisch bekeken te worden. Zo zie ik geen noodzaak voor een verplichte registratie van telefoonnummers. Mobiele nummers hebben in de digitale tijd het karakter van een paspoortnummer gekregen, het biedt de mogelijkheid om mensen in verschillende datasets te koppelen, zoals vooral advertentie- en marketingbedrijven nu doen. Voor de rechtszekerheid is een telefoonnummer niet van belang.

Aanbeveling: registreer geen telefoonnummers meer

Mogelijk zijn er meer gegevens waarvan de registratie kan vervallen.

Beperking in de openbaarheid van gegevens

Voorts is belangrijk dat kritisch wordt omgegaan met gegevens die misbruikt kunnen worden door kwaadwillenden.

Tot die gegevens behoren privé adressen van natuurlijke personen, die nu al deels niet-openbaar zijn op grond van artikel 51 Handelsregisterbesluit 2018. Het betreft nu volgens lid 1:

Het adres van een:
a. bestuurder, gewezen bestuurder,
b. commissaris of gewezen commissaris,
c. gevolmachtigde of gewezen gevolmachtigde,
d. enig aandeelhouder of gewezen enig aandeelhouder,
e. houder of gewezen houder van niet volgestorte aandelen,
f. vereffenaar of gewezen vereffenaar of
g. beheerder of gewezen beheerder, bedoeld in artikel 24, derde lid, artikel 25, derde lid, onder b, of artikel 26, derde lid, onder b
van een rechtspersoon

Het geldt echter op grond van lid 2 niet voor de bestuurder van een vereniging van eigenaars, terwijl niet valt in zie zien waarin zo’n bestuurder verschilt van bestuurders van andere rechtspersonen.

Aanbeveling: zorg er voor dat ook het woonadres van een bestuurder van een vereniging van eigenaars evenmin kan worden ingezien

De regeling van artikel 51 lid 1 geldt ten onrechte niet voor zzp’ers (eenmanszaken) en personenvennootschappen (zoals vennootschap onder firma en maatschap) [4]. Zij dienen een laagdrempelige mogelijkheid te krijgen inhoudend dat uitsluitend het postadres openbaar is. Zo nodig moet ook de regelgeving inzake de Wwft-plicht bij domicilieverlening [5] worden aangepast, om te voorkomen dat het verschaffen van een postadres aan deze groep personen niet onnodig duur wordt [6].

Aanbeveling: biedt aan zzp’ers en vennoten van personenvennootschappen een laagdrempelige mogelijkheid van een domicilie/postadres.

Tot slot is er nog de afscherming van het adres op verzoek, op grond van artikel 51 lid 3 Handelsregisterbesluit 2018. De vereisten voor afscherming zijn veel te verstrekkend, aangezien het alleen wordt toegestaan indien:

a. er sprake is van een waarschijnlijke dreiging;
b. het woonadres in het handelsregister niet kan worden ingezien met betrekking tot een andere onderneming;
c. betrokkene niet beschikt over een openbaar telefoonnummer;
d. deze persoon zelf maatregelen heeft genomen om de bekendheid van zijn adres te verminderen, en
e. het belang van afscherming zwaarder weegt dan de rechtszekerheid in het economisch verkeer.

Pas vereiste sub a. aan zodanig dat de bewijslast voor betrokkene niet te zwaar is. De vereisten sub b., c. en e. dienen te vervallen.

Aanbeveling: pas artikel 51 lid 3 Handelsregisterbesluit 2018 aan als hiervoor voorgesteld.

Bulklevering aan datahandelaren

Er is geen enkele reden waarom de Kamer van Koophandel gegevens uit de registers in bulk zou leveren aan datahandelaren. Van de levering van gegevens aan advertentie- en marketingbedrijven hebben zzp’ers zeer veel schade ondervonden. Het valt niet in te zien waarom dat soort bedrijven beleverd zouden worden door de Kamer van Koophandel.

Datzelfde geldt voor de burgeropsporing, die onder andere wordt vertegenwoordigd door Open State Foundation, Transparency International en onderzoeksjournalisten. Zij willen graag beschikken over de complete inhoud van het handelsregister. Er is geen reden om hen die gelegenheid te geven, aangezien opsporing een overheidstaak is en het al lastig genoeg is om te zorgen dat de overheid de grondrechten van burgers respecteert. Ongecontroleerde en niet-deskundige burgers dienen niet te kunnen grasduinen in de complete set van het handelsregister. Uiteraard laat dit onverlet dat zij individuele uittreksels kunnen opvragen.

Het is denkbaar dat er enkele uitzonderingen worden gemaakt voor bepaalde type datahandelaren, zoals leveranciers van bedrijfsinformatie (Company Info) en kredietinformatie- en witwasinformatieleveranciers. Er dienen dan strenge regels te gelden, zoals:

* Zoeken op de naam van natuurlijke personen is verboden.
* In de datasets zitten geen privéadressen.
* Van natuurlijke personen wordt alleen het geboortejaar veschaft.
* De datahandelaren houden zich stipt aan de AVG, bijvoorbeeld als het gaat om het informeren van betrokkenen en het bieden van inzage en recht tot correctie. In april 2021 heeft datahandelaar Equifax van de Spaanse privacy toezichthouder een pittige boete gehad [7].
* Creëer een toezichtregime voor datahandelaren, volgens de aanpak van de Wet op het financieel toezicht, dus inclusief integriteitstoetsing van beleidsbepalers en technische toetsing van de IT-systemen.

Aanbevelingen: verbiedt bulklevering, behoudens een aantal streng geclausuleerde uitzonderingen;
creëer toezicht op datahandelaren.

Reconstructie van het ubo-register

Het op Europese regelgeving gebaseerde ubo-register is een privacy- en cybersecurity-ramp en dient ingrijpend te worden aangepast. Onder meer is dat het geval omdat de registratieplichtige entiteiten zeer veel vertrouwelijke persoonsgegevens over hun uiteindelijk belanghebbenden dienen te verzamelen en bewaren [8].

Naar mijn mening is de ubo-register regelgeving om meerdere redenen in strijd met de AVG en de Europese grondrechten [9].

Aanbeveling: dring bij de Europese wetgever aan op herziening van de ubo-register regelgeving en pas de Nederlandse wetgeving aan.

Tot slot

Het is hoog tijd dat de regelgeving inzake handelsregister en kadaster worden aangepast aan de digitale toekomst en bescherm natuurlijke personen beter.

Noten

[1] Denk aan de datalekken bij de Rijksdienst voor het Wegverkeer en de GGD.
[2] Bekende recente datalekken zijn die bij de RDC, met gegevens van alle automobilisten in Nederland.
[3] Artikel 51 Handelsregisterbesluit 2018.
[4] Zie ook artikel 51 lid 3 sub b Handelsregisterbesluit 2018.
[5] Artikel 1a lid 4, sub g. Wet ter voorkoming van witwassen en financieren van terrorisme (Wwwft): “natuurlijke personen, rechtspersonen of vennootschappen die beroeps- of bedrijfsmatig een adres of postadres ter beschikking stellen, niet zijnde een trustkantoor als bedoeld in artikel 1, eerste lid, van de Wet toezicht trustkantoren 2018”.
[6] Het cliëntenonderzoek op grond van de Wwft kan zeer duur zijn.
[7] Uitspraak AEPD van 26 april 2021, https://www.aepd.es/es/documento/ps-00240-2019.pdf, besproken op GDPRHub, https://gdprhub.eu/index.php?title=AEPD_-_PS/00240/2019.
[8] Zie daarover ook https://ellentimmer.com/2021/06/17/wwft-528/.
[9] Zie onder andere dagvaarding kort geding Privacy First, https://www.privacyfirst.nl/images/stories/UBO/2021-01-05_KG_dagvaarding_UBO_register_PrivacyFirst_def.pdf en de dagvaarding hoger beroep https://privacyfirst.nl/images/stories/UBO/2021-04-14_Spoedappeldagvaarding_UBOregister_Privacy%20First_def.pdf naar aanleiding van het kort geding vonnis http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2021:2457.