Vanaf 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Deze verordening vervangt de huidige wetgeving, de Wet bescherming persoonsgegevens (Wbp). Hoewel er zeker overeenstemmingen zijn tussen de AVG en de Wbp, is het niet verstandig geen aandacht te besteden aan deze nieuwe wetgeving. Zo bent u straks in veel gevallen verplicht om een register van verwerkingsactiviteiten aan te houden. Daarnaast zorgt de AVG onder meer voor uitbreiding en versterking van de rechten van betrokkenen en is er een hoger boeteregime van toepassing. In dit blog licht ik toe wanneer u verplicht bent een register van verwerkingsactiviteiten bij te houden en wat hierin moet worden vastgelegd.
In de AVG wordt een aantal nieuwe eisen opgelegd aan diegene die persoonsgegevens verwerken. En vrijwel elke organisatie verwerkt persoonsgegevens, denk bijvoorbeeld aan uw personeels- en salarisadministratie. Eén van deze nieuwe eisen betreft het aanhouden van een register van de verwerkingsactiviteiten (artikel 30 AVG).
Het register moet worden aangehouden door zowel de verwerkingsverantwoordelijke (degenen die het doel en de middelen voor de verwerking van persoonsgegevens vaststellen) als door de verwerker (degene die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt).
Moet elke verwerkingsverantwoordelijke en/of verwerker een register opstellen? Helaas is het antwoord hierop zowel ja als nee.
Heeft u meer dan 250 medewerkers in dienst, dan bent u per definitie verplicht een register op te stellen en bij te houden. Heeft uw organisatie minder dan 250 medewerkers, dan is een register verplicht indien:
Met name die laatste eis doet de vraag rijzen of uiteindelijk niet elke verwerkingsverantwoordelijke en verwerker, ook die met minder dan 250 medewerkers in dienst, een verwerkingsregister zal aan moeten houden. Elke werkgever heeft immers niet-incidentele verwerking van persoonsgegevens. Denk bijvoorbeeld wederom aan uw personeels- en salarisadministratie.
Het register van de verwerkingsverantwoordelijke dient, verkort weergegeven, de volgende gegevens te omvatten:
Helaas is er vanuit de Autoriteit Persoonsgegevens (nog) geen praktisch document voorhanden op grond waarvan invulling kan worden gegeven aan de eis tot het voorhanden hebben van een register.
Er is naar mijn mening wel een handige tool voor het opstellen van een register voorhanden: het Vrijstellingsbesluit Wbp. Het Vrijstellingsbesluit Wbp is gekoppeld aan de huidige wetgeving, de Wet bescherming persoonsgegevens. In dit Vrijstellingsbesluit zijn “standaard” verwerkingen opgenomen waarop de (inmiddels al ingetrokken) meldingsplicht niet van toepassing is.
In het Vrijstellingsbesluit Wbp staat bijvoorbeeld vermeld hoe, in de huidige wetgeving, moet worden omgegaan met sollicitantenadministratie, personeels- en salarisadministratie, maar ook uw debiteuren- en crediteurenadministratie, uw huur- en verhuuractiviteiten, etc. Daarnaast staat onder andere vermeld voor welk doel u de persoonsgegevens mag verwerken, welke persoonsgegevens u mag verwerken, welke persoonsgegevens u mag verstrekken en aan wie en hoe lang u persoonsgegevens mag bewaren. Zeer praktische informatie die u kan helpen met het vormgeven van uw eigen register.
Meer weten?
Wilt u starten met het opstellen van een register? Kijk dan eens in het Vrijstellingsbesluit Wbp. Heeft u vragen over het register, of over de nieuwe privacyregels in het algemeen, dan kunt u uiteraard contact met opnemen met de sectie Ondernemingsrecht.