De AVG & de registerplicht 

De AVG & de registerplicht

De AVG & de registerplicht

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. De AVG komt in de plaats van de huidige Wet bescherming persoonsgegevens (Wbp). Op grond van de huidige wet geldt een meldplicht. Deze meldplicht wordt in de AVG vervangen door een verantwoordingsplicht. Op grond van deze verantwoordingsplicht dient elke organisatie die persoonsgegevens verwerkt vanaf 25 mei 2018 een intern register bij te houden van haar verwerkingsactiviteiten. Het register kan worden opgevraagd door de Autoriteit Persoonsgegevens. Een organisatie is dan verplicht inzage te geven.

Waarom een register?

Het doel van de plicht om een register aan te houden is het vergroten van transparantie bij de verwerking van persoonsgegevens. Daarnaast gaat men ervan uit dat een organisatie met behulp van het interne register zal kunnen inschatten hoe groot de kans is dat zij persoonsgegevens op onrechtmatige wijze verwerkt. Privacyrisico’s kunnen daardoor beter in kaart worden gebracht.

Inhoud register

Niet alleen de organisaties die persoonsgegevens (laten) verwerken (de ‘verwerkingsverantwoordelijke’) dienen een register bij te houden, de registerplicht geldt ook voor ingeschakelde hulppersonen. Zo’n hulppersoon wordt onder de AVG aangeduid als een ‘verwerker’.

Het register dat door de verantwoordelijke dient te worden bijgehouden dient in ieder geval de volgende informatie te bevatten:

  • de naam en contactgegevens van de verantwoordelijke en, indien van toepassing, die van de vertegenwoordiger en van de functionaris voor de gegevensbescherming,
  • de doeleinden waarvoor de persoonsgegevens worden verwerkt,
  • de categorieën betrokkenen (zoals klanten en werknemers),
  • de categorieën persoonsgegevens (zoals NAW-gegevens en betaalgegevens),
  • de categorieën ontvangers (wie ontvangt de persoonsgegevens?),
  • de bewaartermijnen van de gegevens,
  • een algemene beschrijving van de beveiligingsmaatregelen van de gegevens (zoals encryptie of pseudonimisering).

In het register van de verwerker moet onder andere informatie staan over de naam en de contactgegevens van de verwerker, de categorieën van verwerkingen en dient een algemene beschrijving te staan van de beveiligingsmaatregelen.

Wie moet een register bijhouden?

De registerplicht geldt ten eerste voor alle organisaties die meer dan 250 personen in dienst hebben. Voor kleinere organisaties geldt de registerplicht niet, tenzij zich één van de uitzonderingen voordoet. Die uitzonderingen zijn zeer breed, zodat voor kleine organisaties vaak toch een registerplicht geldt. Een organisatie met minder dan 250 personeelsleden dient een register bij te houden als het gaat om verwerkingen met een hoog risico, als de verwerking niet incidenteel is, of bij de verwerking van bijzondere en/of strafrechtelijke persoonsgegevens. Bijzondere gegevens kunnen bijvoorbeeld betrekking hebben op gezondheid.

Met name de bepaling over niet-incidentele verwerking zorgt ervoor dat de uitzondering voor veel organisaties geldt. Waarschijnlijk dient deze bepaling zo te worden uitgelegd dat ook organisaties die een salarisadministratie of een klantenbestand bijhouden onder de registerplicht vallen. Omdat de term organisatie een zeer brede strekking heeft, betekent dit dat vrijwel alle bedrijven, instellingen en ondernemingen onder de registerplicht vallen, ook als zij minder dan 250 medewerkers hebben.

Aanbevelingen

Indien de regels van de Algemene verordening gegevensbescherming worden geschonden, kunnen aanzienlijke boetes worden opgelegd. Het is daarom van belang dat u in kaart brengt welke persoonsgegevens u binnen uw organisatie verwerkt. Vervolgens kan worden beoordeeld of uw organisatie onder de registerplicht valt en welke maatregelen nog dienen te worden genomen om tijdig aan die plicht te voldoen.

Het register moet schriftelijk zijn opgesteld. Dit kan ook in elektronische vorm. U kunt het register dus vastleggen in een tekstbestand of een spreadsheet, of met behulp van speciale software. Indien binnen uw organisatie een functionaris voor de gegevensbescherming aanwezig is, dan ligt het voor de hand om die functionaris het register te laten bijhouden.

Mocht u naar aanleiding van dit artikel nog vragen hebben, aarzelt u dan niet om contact met ons op te nemen.