Ondernemende advocaten voor de ondernemer

Nieuwe privacyregels: register van de verwerkingsactiviteiten

Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Deze verordening vervangt de huidige wetgeving, de Wet bescherming persoonsgegevens (Wbp). Hoewel er zeker overeenstemmingen zijn tussen de AVG en de Wbp, is het niet verstandig geen aandacht te besteden aan deze nieuwe wetgeving. Zo bent u straks in veel gevallen verplicht om een register van verwerkingsactiviteiten aan te houden. Daarnaast zorgt de AVG onder meer voor uitbreiding en versterking van de rechten van betrokkenen en is er een hoger boeteregime van toepassing. In dit blog licht ik toe wanneer u verplicht bent een register van verwerkingsactiviteiten bij te houden en wat hierin moet worden vastgelegd.

Nieuwe eisen aan verwerkers persoonsgegevens

In de AVG wordt een aantal nieuwe eisen opgelegd aan diegene die persoonsgegevens verwerken. En vrijwel elke organisatie verwerkt persoonsgegevens, denk bijvoorbeeld aan uw personeels- en salarisadministratie. Eén van deze nieuwe eisen betreft het aanhouden van een register van de verwerkingsactiviteiten (artikel 30 AVG).

Het register moet worden aangehouden door zowel de verwerkingsverantwoordelijke (degenen die het doel en de middelen voor de verwerking van persoonsgegevens vaststellen) als door de verwerker (degene die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt).

Wie moet een register aanhouden?

Moet elke verwerkingsverantwoordelijke en/of verwerker een register opstellen? Helaas is het antwoord hierop zowel ja als nee.

Heeft u meer dan 250 medewerkers in dienst, dan bent u per definitie verplicht een register op te stellen en bij te houden. Heeft uw organisatie minder dan 250 medewerkers, dan is een register verplicht indien:

  1. het waarschijnlijk is dat de persoonsgegevens die u verwerkt een risico inhouden voor de rechten en vrijheden van de personen van wie uw persoonsgegevens verwerkt (denk daarbij bijvoorbeeld aan gegevens die zouden kunnen worden gebruikt voor identiteitsfraude);
  2. u persoonsgegevens verwerkt die vallen onder de categorie bijzondere persoonsgegevens (denk daarbij aan verwerking van persoonsgegevens over iemands gezondheid, politieke opvattingen, religieuze overtuigingen, etnische afkomst, strafrechtelijke gegevens, etc. – artikel 9 AVG);
  3. de verwerking van persoonsgegevens niet incidenteel

Met name die laatste eis doet de vraag rijzen of uiteindelijk niet elke verwerkingsverantwoordelijke en verwerker, ook die met minder dan 250 medewerkers in dienst, een verwerkingsregister zal aan moeten houden. Elke werkgever heeft immers niet-incidentele verwerking van persoonsgegevens. Denk bijvoorbeeld wederom aan  uw personeels- en salarisadministratie.

Opstellen register verwerkingsactiviteiten

Het register van de verwerkingsverantwoordelijke dient, verkort weergegeven, de volgende gegevens te omvatten:

  1. Naam en contactgegevens van de verwerkingsverantwoordelijke;
  2. De verwerkingsdoeleinden;
  3. Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  4. De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  5. Indien van toepassing, eventuele doorgiften van persoonsgegevens aan een ander land;
  6. Indien mogelijk, de beoogde termijnen waarbinnen de gegevens worden gewist;
  7. Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn genomen.

Helaas is er vanuit de Autoriteit Persoonsgegevens (nog) geen praktisch document voorhanden op grond waarvan invulling kan worden gegeven aan de eis tot het voorhanden hebben van een register.

Er is naar mijn mening wel een handige tool voor het opstellen van een register voorhanden: het Vrijstellingsbesluit Wbp. Het Vrijstellingsbesluit Wbp is gekoppeld aan de huidige wetgeving, de Wet bescherming persoonsgegevens. In dit Vrijstellingsbesluit zijn “standaard” verwerkingen opgenomen waarop de (inmiddels al ingetrokken) meldingsplicht niet van toepassing is.

Vormgeven eigen register

In het Vrijstellingsbesluit Wbp staat bijvoorbeeld vermeld hoe, in de huidige wetgeving, moet worden omgegaan met sollicitantenadministratie, personeels- en salarisadministratie, maar ook uw debiteuren- en crediteurenadministratie, uw huur- en verhuuractiviteiten, etc. Daarnaast staat onder andere vermeld voor welk doel u de persoonsgegevens mag verwerken, welke persoonsgegevens u mag verwerken, welke persoonsgegevens u mag verstrekken en aan wie en hoe lang u persoonsgegevens mag bewaren. Zeer praktische informatie die u kan helpen met het vormgeven van uw eigen register.

Meer weten?
Wilt u starten met het opstellen van een register? Kijk dan eens in het Vrijstellingsbesluit Wbp. Heeft u vragen over het register, of over de nieuwe privacyregels in het algemeen, dan kunt u uiteraard contact met opnemen met Maaike van Santvoort, verbonden aan de sectie Ondernemingsrecht.

Read also

Wetsvoorstel Franchise: de franchiseovereenkomst in de wet
Astrid Jansen, 10-04-2020
Ondernemingsrecht
De tijdelijke Noodmaatregel Overbrugging voor behoud van Werkgelegenheid (NOW): details en uitvoering
Madelein van der Velden, 31-03-2020
Arbeidsrecht, Ondernemingsrecht
Impact van het coronavirus op de werkvloer
Annemieke Siebrand, 12-03-2020
Arbeidsrecht, Geen onderdeel van een categorie, IE/ICT/Privacy, Ondernemingsrecht