Wanneer moeten kleine organisaties voldoen aan de verwerkingsregisterplicht?

September 13, 2017

Wanneer je als organisatie persoonsgegevens verwerkt is het onder de aankomende privacyverordening vaak verplicht om een verwerkingsregister bij te houden (ook wel registerplicht). Een misverstand dat is ontstaan is dat veel mensen denken dat deze registerplicht alleen voor grote bedrijven geldt. Ook kleinere organisaties moeten in veel gevallen aan deze verplichting voldoen.

Het bijhouden van een verwerkingsregister is niet alleen vaak een verplichting, maar ook een onmisbaar middel om zelf een overzicht te krijgen en te behouden van de verwerkingen. Want pas met een goed overzicht van de verwerkingen kun je als organisatie de volgende stappen zetten naar privacy compliance. Hoe ga je anders effectief reageren op een verzoek tot inzage of verwijdering? Daarnaast is het belangrijk om te weten wanneer je wel en niet aan de voorwaarden voldoet van de registerplicht omdat je met die kennis hoge boetes kunt voorkomen.

In de wet staat dat organisaties die minder dan 250 werknemers in dienst hebben niet verplicht zijn om een verwerkingsregister bij te houden, tenzij de organisatie verwerkingen verricht die:

  1. Een risico inhouden voor de betrokkenen of;
  2. Niet incidenteel zijn of;
  3. Strafrechtelijke gegevens of verwerkingen van bijzondere categorieën van gegevens inhouden, denk aan gegevens over gezondheid of geloofsovertuiging.

Als je alleen incidenteel gegevens verwerkt, geldt de verplichting van een verwerkingsregister niet. Een voorbeeld hiervan is de marketingafdeling die een adreswijziging van de organisatie doorgeeft aan klanten. Het gaat om verwerkingen die hooguit een paar keer per jaar voor kunnen komen. Dit betekent dus dat veel kleine organisaties wel degelijk aan de registerplicht moeten voldoen, omdat de meeste organisaties immers niet alleen incidentele verwerkingen, maar juist verwerkingen op structurele schaal verrichten. Bijvoorbeeld, de verwerkingen voor het aannemen van een nieuwe werknemer of het telefoonverkeer van de klantenservice.

Onder de privacyverordening bestaat geen Vrijstellingsbesluit, zoals onder de Wet bescherming persoonsgegevens (Wbp). Onder de Wbp bestaat er een meldplicht voor verwerkingen en het Vrijstellingsbesluit geeft uitzonderingen voor verwerkingen die niet gemeld hoeven te worden onder deze meldplicht. De registerplicht onder de privacyverordening, die vanaf mei 2018 van kracht zal zijn, vervangt de meldplicht onder de Wbp. Dit houdt concreet in dat de verwerkingen die tot nu toe onder het Vrijstellingbesluit niet gemeld hoefden te worden wel onder de plicht van het verwerkingsregister vallen, en dus opgenomen moeten worden in het verwerkingsregister.

Als organisatie moet je dus goed op de hoogte zijn van alle verwerkingen binnen de organisatie. Daarnaast is het belangrijk om goed op de hoogte te zijn van alle verplichtingen onder de privacyverordening die voor jouw organisatie van toepassing zijn, om verrassingen te voorkomen.

Download