Het “verwerkingsregister” onder de AVG: Waarom, wanneer en hoe?
Categorie: Privacyrecht
Anders dan onder de Wbp het geval was, hoeft u geen melding meer te doen aan de Autoriteit Persoonsgegevens wanneer u persoonsgegevens verwerkt.
In plaats daarvan dient u – als verantwoordelijke of als verwerker – te voldoen aan de in de AVG opgenomen documentatieplicht. In dat kader dient u een verwerkingsregister aan te leggen en bij te houden.
In deze blog legt onze privacy-advocaat uit waarom, wanneer en hoe een verwerkingsregister moet worden vormgegeven.
Waarom een verwerkingsregister onder de AVG?
Artikel 30 van de AVG spreekt over een “Register van de verwerkingsactiviteiten”, ook wel het “verwerkingsregister” genoemd. Met het verwerkingsregister wordt gedoeld op de documentatieverplichting die ieder bedrijf heeft wanneer het persoonsgegevens verwerkt. Deze documentatieverplichting vervangt de vroegere, onder de inmiddels vervallen Wet Bescherming Persoonsgegevens verplichtte, meldingsplicht.
In plaats van het doen van een melding bij de Autoriteit Persoonsgegevens dien je nu (onder bepaalde omstandigheden) een verwerkingsregister bij te houden. Kortweg houdt deze vorm van documentatieplicht in dat iedere organisatie waarop de AVG van toepassing is, in staat moet zijn om de verwerkingen van persoonsgegevens te kunnen verantwoorden. Door middel van een register moet aangetoond worden hoe binnen de organisatie of met behulp van een derde verwerker:
(i) deze verwerking plaatsvindt;
(ii) op welke grondslagen dit gebeurt; en
(iii) hoe de gegevens worden beschermd.
De Autoriteit Persoonsgegevens kan op elk moment opvragen op welke wijze een organisatie omgaat met de verwerking van persoonsgegevens. Dit moeten organisaties aantoonbaar kunnen verantwoorden.
Wanneer een verwerkingsregister onder de AVG?
Is elke organisatie verplicht tot het bijhouden van een verwerkingsregister onder de AVG?
Het antwoord hierop lijkt makkelijk. Uit artikel 30 AVG volgt dat het niet verplicht is een verwerkingsregister bij te houden voor ondernemingen of organisaties die minder dan 250 personen in dienst hebben. Er is echter een “tenzij” opgenomen in het artikel. De documentatieplicht geldt namelijk ook indien het waarschijnlijk is dat de verwerking die de organisatie verricht een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens betreft.
Vooral de vraag of de verweking (al dan niet) incidenteel is heeft vragen opgeroepen, welke door de AP in eerste instantie nogal strikt beantwoord werden. De AP zei namelijk: “Bij een niet-incidentele verwerking kunt u denken aan elke verwerking met een zekere bestendigheid. Denk hierbij bijvoorbeeld aan het bijhouden van een klantendatabase of een personeelsadministratie. Aangezien veruit de meeste verwerkingen niet-incidenteel zijn, zal in de praktijk slechts in een beperkt aantal gevallen een beroep op deze uitzondering kunnen worden gedaan”. Ofwel, als het aan de AP ligt ontspringt het MKB de dans niet. Of dit helemaal in lijn is met de bedoeling van artikel 25 AVG valt te betwijfelen. Een uitleg waarbij het begrip niet-incidenteel zou aansluiten bij de vraag of het al dan niet de kernactiviteiten van een onderneming zijn om persoonsgegevens te verwerken, had meer in lijn gelegen. Denk bijvoorbeeld aan een klantenbestand van een webshop. Bied je een clouddienst aan, dan is het verwerken van persoonsgegevens een van de kernactiviteiten en dan lijkt het vanzelfsprekend dat er een verplichting tot het hebben van een verwerkingsregister bestaat.
In april van dit jaar heeft Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, echter aangegeven dat een bedrijf met minder dan 250 werknemers geen “boekhouding” hoeft bij te houden over de verwerkingsactiviteiten zolang het geen gevoelige informatie betreft. Het lijkt erop dat ook de Autoriteit Persoonsgegevens de lasten en zorgen bij het MKB wat probeert weg te nemen. Het dienen te voldoen aan de AVG geldt echter voor elke onderneming. Wanneer je de privacy bestendigheid van jouw onderneming analyseert kan het geen kwaad om, als je toch bezig bent, een register van alle verwerkingen op te stellen. Zo krijg je direct inzicht in al de verwerkingen die binnen de organisatie plaatsvinden en dek je jezelf maximaal in mocht zich in de toekomst een probleem wat betreft de door de onderneming verzamelde persoonsgegevens ontstaan.
Hoe ziet een verwerkingsregister eruit?
Ik kom tenslotte aan bij het ‘hoe’. Wat dient er allemaal in het verwerkingsregister te worden bijgehouden en op welke manier dient dit te worden gepresenteerd?
De administratie moet minimaal bevatten:
(i) de gegevens van de verantwoordelijke;
(ii) het doel van de verwerking;
(iii) een beschrijving van de categorieën van betrokkenen en persoonsgegevens;
(iv) bewaartermijnen;
(v) de categorieën (derde) ontvangers waaraan de gegevens ter beschikking worden gesteld;
(vi) of er doorgifte is naar derde landen; en
(vii) welke technische en organisatorische maatregelen er zijn getroffen ter bescherming van de gegevens.
De wijze waarop dit wordt bijgehouden is echter vormvrij. Gedacht kan worden aan een Excel bestand welke continu kan worden aangepast, een ander template of een softwarematige tool.
Privacy-advocaat in Amsterdam
Heeft u meer vragen over het verwerkingsregister, de documentatieverplichting of hoe uw onderneming AVG proof wordt? Neem dan vrijblijvend contact op met de Blenheim Privacydesk.