De AVG (GDPR) brengt veel verplichtingen met zich mee. Onder meer een verwerkingsregister of een register van verwerkingsactiviteiten. Die heb je al heel snel nodig, volgens de Autoriteit Persoonsgegevens. Maar eh, het was toch juist de bedoeling dat kleine ondernemers hier niet aan hoeven voldoen, omdat het te veel administratie vergt? Veel juristen beweren ook dat het voor iedereen verplicht is, maar dat is niet waar! Ik leg je uit waarom én waar een register aan zou moeten voldoen.
Voor wie is een verwerkingsregister verplicht?
De AVG vereist in sommige gevallen een register van verwerkingsactiviteiten. Dit wordt ook wel de documentatieplicht genoemd. Dit is niet altijd verplicht. Het uitgangspunt van de AVG is dat het register wél nodig is. Helemaal aan het eind van het artikel blijkt dat er toch een uitzondering bestaat, als er aan de volgende vereisten wordt voldaan:
- de organisatie heeft minder dan 250 werknemers (personen, niet fte); en
- de verwerking geen groot risico inhoudt voor de betrokkenen; en
- de verwerking is incidenteel; en
- er worden geen bijzondere gegevens verwerkt.
De overwegingen bij de AVG/GDPR zeggen daarover: “Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemeringen omvat deze verordening een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van registers betreft.”
Wanneer val je onder een kleine onderneming?
Wat een kleine onderneming is, staat in een aanbeveling van de Europese Commissie:
Tot de categorie kleine, middelgrote en micro-ondernemingen (KMO’s) behoren ondernemingen waar minder dan 250 personen werkzaam zijn en waarvan de jaaromzet 50 miljoen EUR of het jaarlijkse balanstotaal 43 miljoen EUR niet overschrijdt.
Binnen de categorie KMO’s is een “kleine onderneming” een onderneming waar minder dan 50 personen werkzaam zijn en waarvan de jaaromzet of het jaarlijkse balanstotaal 10 miljoen EUR niet overschrijdt.
Binnen de categorie KMO’s is een “micro-onderneming” een onderneming waar minder dan 10 personen werkzaam zijn en waarvan de jaaromzet of het jaarlijkse balanstotaal 2 miljoen EUR niet overschrijdt.
En ik maar denken dat mijn onderneming een kleine onderneming was. Blijkt het gewoon een micro-onderneming te zijn. Heeft iemand een vergrootglas voor me?
Wanneer zijn verwerkingen niet incidenteel?
Het grote probleem zit eigenlijk vooral in de vraag wanneer verwerkingen incidenteel zijn.
Volgens de Autoriteit Persoonsgegevens zijn verwerkingen eigenlijk nooit incidenteel: “In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners”
Ook de Belgische toezichthouder heeft het erover dat incidentele verwerkingen alleen toevallige of onvoorziene verwerkingen zijn. Gewoonlijke verwerkingen zijn niet incidenteel, waarbij ze als voorbeeld klantbeheer, personeelsbeheer en leveranciersbeheer noemen.
Vrijstelling of niet?
Beetje vreemde benadering eigenlijk, niet? Want als je zegt dat het verwerken van persoonsgegevens van personeel al niet meer incidenteel is, per definitie, waarom zou het dan nog uitmaken of je meer of minder dan 250 werknemers hebt? Naar mijn mening, en die van een aantal andere juristen overigens, legt de Autoriteit Persoonsgegevens de regel onterecht veel te smal uit. Als het verwerken van persoonsgegevens van enkele werknemers (want elke maand) of enkele opdrachtgevers al niet meer incidenteel is, dan is er eigenlijk nooit sprake van deze vrijstelling.
Ergens denk ik vooral voor ZZP’ers ook: je kon toch alleen zelf bij de gegevens? Dus wat wil je er eigenlijk over vastleggen? Dat je het steeds zelf was? Dat als er een datalek was dat het je eigen schuld was? En als het door een verwerker komt, had die wellicht wél een register bij moeten houden, omdat de verwerker voor veel meer opdrachtgevers persoonsgegevens verwerkt. Bedoel: als het verwerken van persoonsgegevens grootschalig is of een kernactiviteit is, snapt iedereen wel dat er een register moet komen, want dan is het in elk geval niet meer incidenteel.
Update: Begin april heeft Aleid Wolfsen in een interview bij BNR gezegd dat kleine ondernemers met minder dan 250 werknemers die geen bijzondere persoonsgegevens verwerken, geen ‘boekhouding’ ervan bij hoeven te houden.n
Kortom: wil je geen risico lopen, zorg dan altijd dat je een register van verwerkingsactiviteiten of een verwerkingsregister hebt. Ben je niet het braafste jongetje van de klas en ben je zo rebels om meer naar het doel van de regel te leven dan zoals de AP hem uitlegt, dan heb je niet altijd een register nodig.
Andere lezing
Er is natuurlijk ook nog een andere lezing mogelijk:
Het uitgangspunt is dat er een verwerkingsregister moet zijn.
Je hoeft alleen niet de incidentele verwerkingen zelf te registreren, wanneer je minder dan 250 werknemers hebt, het geen bijzondere gegevens zijn en de verwerking geen groot risico voor de betrokkenen inhoudt.
Het zou dan niet zozeer gaan om wel of geen register hebben, maar vooral wat er in die registers moet worden opgenomen.
Verantwoordingsplicht
Een register van verwerkingsactiviteiten of de documentatieplicht helpt overigens wel bij de verantwoordingsplicht. Als de Autoriteit Persoonsgegevens daarom vraagt moet je namelijk wel kunnen vertellen wat je met persoonsgegevens doet en gedaan hebt. Niet alleen wat je daarover op papier hebt gezet en wat je ideeën zijn, maar ook hoe je dat praktisch hebt uitgewerkt. Daar zou een register dan wel weer bij kunnen helpen.
Trouwens, vergeet niet een register van datalekken bij te houden!
Hop, privacyverklaring, intern privacybeleid, verwerkingssovereenkomsten, verwerkingsregister en het register van datalekken zo over de schutting naar de AP wanneer ze komen controleren.
Wat moet er in een register van verwerkingsactiviteiten staan?
Zo’n verwerkingsregister kun je het beste zelf opzetten of je kunt gebruikmaken van software aanbieders waarmee je makkelijk aan de documentatieplicht kunt voldoen. Waar je ook voor kiest, het volgende moet in je verwerkingsregister staan:
- Naam en contactgegevens van de verwerkingsverantwoordelijke (de onderneming) en van de Functionaris Gegevensbescherming (FG of DPO genoemd) als je die hebt;
- Doeleinden van de verwerking (waarom verwerk je de persoonsgegevens);
- Beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
- Met wie persoonsgegevens gedeeld worden;
- Of gegevens in een derde land worden opgeslagen;
- Bewaartermijnen van de persoonsgegevens;
- Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen
Elke keer als er persoonsgegevens verwerkt worden, moet opgeslagen worden om welke categorie persoonsgegevens het gaat, voor wel doeleinden ze worden verwerkt, met wie (en welk land) ze worden gedeeld en wanneer ze weer verwijderd moeten worden. Het register moet daarom regelmatig worden bijgewerkt.
Volgens de Autoriteit Persoonsgegevens moet je ook bijhouden wie er wanneer bij welke persoonsgegevens is geweest, omdat dit een onderdeel is van de beveiliging van de persoonsgegevens. Bovendien niet onverstandig om dit te loggen, omdat betrokkenen het recht hebben om te weten welke categorie personen toegang hebben gehad (niet op papier, maar in de praktijk) tot hun persoonsgegevens.
Het register moet schriftelijk zijn, dat mag ook elektronisch (online).
De Belgische toezichthouder heeft een voorbeeld van een register in excel beschikbaar gesteld.
Hulp nodig bij privacy?
Schrijf je ook in voor onze privacy e-mail updates
Lees ook de andere artikelen over de AVG:
