Charlotte's Law & Fine Prints

Juridisch Advies voor Ondernemers

Checklist AVG: heb je een register van verwerkingsactiviteiten nodig?

door

De AVG zorgt voor veel administratieve verplichtingen, waarmee je laat zien dat je de privacy van anderen goed waarborgt. Een van die verplichtingen is dat je bijhoudt wat je met persoonsgegevens doet. Je neemt het op in een register van verwerkingsactiviteiten of verwerkingsregister.

Heb je het ook als ZZP’er of freelancer nodig? Meestal wel.

Wanneer heb je een register van verwerkingen nodig en wat moet daar dan in staan?

Voor wie is een verwerkingsregister verplicht?

De AVG vereist voor de meeste gevallen een register van verwerkingsactiviteiten. Dit wordt ook wel de documentatieplicht genoemd. Het uitgangspunt van de AVG is dat het register wél nodig is. Er is een uitzondering als je aan de volgende vier criteria voldoet:

  • de organisatie heeft minder dan 250 werknemers (personen, niet fte); en
  • de verwerking geen groot risico inhoudt voor de betrokkenen; en
  • de verwerking is incidenteel; en
  • er worden geen bijzondere gegevens verwerkt.

Voor kleine organisaties die vrijwel nooit persoonsgegevens verwerken, is er dus een uitzondering, maar wanneer is daar sprake van?

De overwegingen bij de AVG/GDPR zeggen daarover: “Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemeringen omvat deze verordening een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van registers betreft.

Wanneer val je onder een kleine onderneming?

Wat een kleine onderneming is, staat in een aanbeveling van de Europese Commissie:
Tot de categorie kleine, middelgrote en micro-ondernemingen (KMO’s) behoren ondernemingen waar minder dan 250 personen werkzaam zijn en waarvan de jaaromzet 50 miljoen EUR of het jaarlijkse balanstotaal 43 miljoen EUR niet overschrijdt.

Binnen de categorie KMO’s is een “kleine onderneming” een onderneming waar minder dan 50 personen werkzaam zijn en waarvan de jaaromzet of het jaarlijkse balanstotaal 10 miljoen EUR niet overschrijdt.

Binnen de categorie KMO’s is een “micro-onderneming” een onderneming waar minder dan 10 personen werkzaam zijn en waarvan de jaaromzet of het jaarlijkse balanstotaal 2 miljoen EUR niet overschrijdt.

Wanneer zijn verwerkingen incidenteel?

Volgens de Autoriteit Persoonsgegevens zijn verwerkingen eigenlijk nooit incidenteel: “In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners”
Ook de Belgische toezichthouder heeft het erover dat incidentele verwerkingen alleen toevallige of onvoorziene verwerkingen zijn. Gewoonlijke verwerkingen zijn niet incidenteel, waarbij ze als voorbeeld klantbeheer, personeelsbeheer en leveranciersbeheer noemen.

Een incidentele verwerking van persoonsgegevens is dus een eenmalige verwerking.

Vrijstelling of niet?

Beetje vreemde benadering eigenlijk, niet? Want als je zegt dat het verwerken van persoonsgegevens van personeel al niet meer incidenteel is, per definitie, waarom zou het dan nog uitmaken of je meer of minder dan 250 werknemers hebt? Het verwerken van persoonsgegevens van enkele werknemers (want elke maand) of enkele opdrachtgevers is al niet incidenteel, dus is er eigenlijk nooit sprake van deze vrijstelling.

In april 2018 heeft Aleid Wolfsen in een interview bij BNR gezegd dat kleine ondernemers met minder dan 250 werknemers die geen bijzondere persoonsgegevens verwerken, geen ‘boekhouding’ ervan bij hoeven te houden.

Kortom: wil je geen risico lopen, zorg dan altijd dat je een register van verwerkingsactiviteiten of een verwerkingsregister hebt. 

Wel een register, maar zonder incidentele verwerkingen

Er is natuurlijk ook nog een andere lezing mogelijk:
Het uitgangspunt is dat er een verwerkingsregister moet zijn.
Je hoeft alleen niet de incidentele verwerkingen zelf te registreren, wanneer je minder dan 250 werknemers hebt, het geen bijzondere gegevens zijn en de verwerking geen groot risico voor de betrokkenen inhoudt.
Het zou dan niet zozeer gaan om wel of geen register hebben, maar vooral wat er in die registers moet worden opgenomen.

Register van verwerkingen = Verantwoordingsplicht

Een register van verwerkingsactiviteiten of verwerkingsregister helpt overigens wel bij de verantwoordingsplicht. Als de Autoriteit Persoonsgegevens daarom vraagt moet je namelijk wel kunnen vertellen wat je met persoonsgegevens doet en gedaan hebt. Niet alleen wat je daarover op papier hebt gezet en wat je ideeën zijn, maar ook hoe je dat praktisch hebt uitgewerkt. Daar heb je het verwerkingsregister bij nodig.

Documenten voor verantwoordingsplicht

Om aan de documentatieplicht of verantwoordingsplicht te kunnen voldoen heb je in totaal dus deze documenten nodig:

  • Privacyverklaring
  • Verwerkingsregister
  • Datalekregister
  • Verwerkersovereenkomsten
  • Soms intern privacybeleid

Word jouw bedrijf gecontroleerd? Dan moet je eerst deze documenten verstrekken. In veel gevallen zal daarmee de kous meteen af zijn. Tenzij er natuurlijk een specifieke klacht was, dan zal daar ook nog informatie over gevraagd worden.

Wat moet er in een register van verwerkingsactiviteiten staan?

Zo’n verwerkingsregister kun je het beste zelf opzetten of je kunt gebruikmaken van software aanbieders waarmee je makkelijk aan de documentatieplicht kunt voldoen. Waar je ook voor kiest, het volgende moet in je verwerkingsregister staan:

  • Naam en contactgegevens van de verwerkingsverantwoordelijke (de onderneming) en van de Functionaris Gegevensbescherming (FG of DPO genoemd) als je die hebt;
  • Doeleinden van de verwerking (waarom verwerk je de persoonsgegevens);
  • Beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
  • Met wie persoonsgegevens gedeeld worden;
  • Of gegevens in een derde land worden opgeslagen;
  • Bewaartermijnen van de persoonsgegevens;
  • Algemene beschrijving van technische en organisatorische beveiligingsmaatregele

Volgens de Autoriteit Persoonsgegevens moet je ook bijhouden wie er wanneer bij welke persoonsgegevens is geweest, omdat dit een onderdeel is van de beveiliging van de persoonsgegevens. Bovendien niet onverstandig om dit te loggen, omdat betrokkenen het recht hebben om te weten welke categorie personen toegang hebben gehad (niet op papier, maar in de praktijk) tot hun persoonsgegevens.

Let op! Je neemt dus niet de persoonsgegevens zelf op in dit register.

Hoe moet het register van verwerkingsactiviteiten eruit zien?

Het register moet schriftelijk zijn, dat mag ook elektronisch (online).

Het kan dus ook in een Wordbestand, excel of in notion bijvoorbeeld. Het draait om de inhoud, niet om de vorm.

Bovendien maakt gelukkig niet uit waar je het opslaat, omdat je niet de persoonsgegevens zelf erin opneemt. Behalve dan van een contactpersoon, maar als je zzp’er bent, dan zijn dat je eigen gegevens, dus mag je ook zelf beslissen waar ze worden opgeslagen.

Lees ook de andere artikelen over de AVG:

Over Charlotte

Charlotte Meindersma is 'de social media jurist van Nederland' en oprichter van Charlotte's Law & Fine Prints.
Ze drinkt graag oploskoffie, in de spreekwoordelijke zin van het woord. Bovendien is ze amateur-marketer en was ze in een vorig leven fotograaf.