Misverstand 3: Register van verwerkingen

‍In de blogreeks De 7 grootste misverstanden over de AVG rekenen we af met de 7 meest gehoorde misverstanden. Deze week behandelen we het register van verwerkingen.

Een belangrijk beginsel bij het verwerken van persoonsgegevens is de verantwoordingsplicht. Dit houdt in dat de verwerkingsverantwoordelijke (en de verwerker) verantwoordelijk is voor de naleving van de Algemene Verordening Gegevensbescherming (AVG) en hij deze naleving ook kan aantonen. Een uitwerking van de verantwoordingsplicht is het register van verwerkingen. Het is een wijdverspreid misverstand dat zo’n register alleen verplicht is voor grote bedrijven. Nagenoeg elke organisatie moet een register van verwerkingen bijhouden.

Van meldplicht naar registerplicht

Onder de Privacy-richtlijn en de Nederlandse implementatiewet hiervan, de Wbp, was het nog zo dat bedrijven verwerkingen moesten melden bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens hield een register bij van de bij hen aangemelde gegevensverwerkingen. Dit register kon door iedereen kosteloos worden ingezien. Onder de AVG wordt deze ‘meldplicht’ vervangen door een ‘registerplicht’. In plaats van verwerkingen aan te melden bij de Autoriteit Persoonsgegevens, moeten organisaties nu de verwerkingen bijhouden in een eigen register. En nu de registerplicht van de AVG voor de deur staat, heeft de Autoriteit Persoonsgegevens onlangs besloten dat organisaties niet langer meer verwerkingen hoeven te melden. Let op! Het melden van datalekken blijft verplicht onder de AVG.

Wat is de registerplicht?

Artikel 30 van de AVG bepaalt dat de verwerkingsverantwoordelijke (en de verwerker in mindere mate) in een register informatie moet bijhouden over de verwerkingen die hij verricht. Er is wel een uitzondering: bedrijven en organisaties die minder dan 250 medewerkers in dienst hebben zijn uitgezonderd van de registerplicht, tenzij de verwerking risicovol is, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën persoonsgegevens of strafrechtelijke gegevens betreft.

Dit betekent dat een klein bedrijf dat enkele niet-incidentele verwerkingen doet, al onder de registerplicht valt. En dit is bij de meeste (kleine) organisaties het geval. Een niet-incidentele verwerking van persoonsgegevens is namelijk elke verwerking met enig structureel of voortdurend karakter. Het gaat dan om verwerkingen die nagenoeg elke MKB’er doet, zoals het bijhouden van een salarisadministratie, een klantenbestand en zelfs het gebruik van e-mail. Het komt er dus op neer dat de uitzondering zoveel haken en ogen heeft dat vrijwel niemand er onder valt.

Hieronder is voor de duidelijkheid nog eens aangegeven wanneer de registerplicht wél geldt:

• Voor ondernemingen of organisaties met meer dan 250 personen in dienst• Wanneer verwerkingen worden gedaan met een hoog risico• Wanneer niet-incidentele verwerkingen worden gedaan• Wanneer er verwerkingen van bijzondere categorieën persoonsgegevens of strafrechtelijke gegevens worden gedaan

Wat staat er in het register?

In het register staan allereerst de contactgegevens van de eigenaar van het register en - wanneer van toepassing - van de Functionaris Gegevensbescherming van de organisatie. Op deze manier weten betrokkenen met wie zij contact kunnen opnemen met vragen over hun gegevens. Daarnaast wordt er opgenomen welke verschillende verwerkingen er worden gedaan, de verwerkingsdoelen per verwerking, een beschrijving van de categorieën van betrokkenen en welke persoonsgegevens er van deze mensen worden verwerkt. Bovendien wordt er vastgelegd of er persoonsgegevens worden doorgegeven naar derde partijen, wie deze partijen zijn en of er ook doorgifte naar derde landen gebeurt. Ook wordt er indien mogelijk in het register vastgelegd welke gegevens voor hoe lang bewaard worden. Tot slot wordt er in het algemeen beschreven welke technische en organisatorische maatregelen zijn getroffen om de persoonsgegevens te beveiligen.

Je kan begrijpen dat het bijhouden van een register met alle soorten verwerkingen die je doet, een grote administratieve rompslomp kan worden. Maar het hoeft niet moeilijk te zijn. Privacy Nexus biedt uitkomst. Deze gebruiksvriendelijke tool helpt je met het bijhouden van het register.