Accountability onder de AVG

Register van verwerkingsactiviteiten

Een van de verplichtingen die het beginsel van accountability met zich meebrengt is het bijhouden van een register van verwerkingsactiviteiten. Doordat organisaties dit register moeten opstellen, zijn zij genoodzaakt na te denken over intern beleid en compliance maatregelen.Deze verplichting betekent dat een organisatie in beginsel alle verwerkingen die onder zijn verantwoordelijkheid plaatsvinden moet bijhouden. Daarbij moet dan weer per verwerking worden bijgehouden: voor welk doel de gegevens worden verwerkt; om welke categorieën betrokkenen het gaat; welke categorieën gegevens worden verwerkt; aan wie de gegevens zullen worden verstrekt in het geval van verstrekking aan landen buiten de EU: documentatie waaruit blijkt dat er passende waarborgen zijn; de bewaartermijnen; een beschrijving van de beveiligingsmaatregelen.

Vervallen meldplicht Autoriteit Persoonsgegevens

Onder de AVG vervalt de huidige verplichting om bepaalde categorieën verwerkingen bij de Autoriteit Persoonsgegevens te melden. Het interne verwerkingsregister komt daarvoor in de plaats. De Autoriteit Persoonsgegevens kan naleving van de registerverplichting controleren door het register op te vragen bij de verantwoordelijke organisatie. Het is dus van belang dat het register goed wordt bijgehouden en altijd actueel is. Elke nieuwe (categorie van) verwerkingen moet in het register worden opgenomen.Met het vervallen van de meldplicht bij de Autoriteit Persoonsgegevens, vervalt ook het Vrijstelingsbesluit. Waar het nu nog niet verplicht is om – kort gezegd – gebruikelijke verwerkingen zoals debiteurenadministratie of personeelsadministratie te melden, wordt het straks wel verplicht deze verwerkingen in het register op te nemen.

Uitzonderingen?

Dat betekent dus dat elke organisatie (ondernemingen, overheidsinstanties, ngo’s, etc.) een verwerkingsregister moet opstellen, ook als er nu geen meldplicht is. Op verschillende websites met juridische adviezen over de AVG wordt echter gemeld dat deze verplichting niet zou gelden voor organisaties met minder dan 250 werknemers. Helaas voor kleinere ondernemingen klopt dit verhaal maar voor een (klein) deel. De uitzondering voor ondernemingen en organisaties met minder dan 250 werknemers geldt namelijk alleen voor zover er geen sprake is van een verwerking die een risico inhoudt voor de rechten en vrijheden van betrokkenen, er geen sprake is van de verwerking van bijzondere persoonsgegevens en (heel belangrijk) indien de verwerking incidenteel is. Niet-incidentele verwerkingen moeten dus wel in een register worden opgenomen.De vraag is dan wanneer er sprake is van een niet-incidentele verwerking. De Autoriteit Persoonsgegevens geeft (vooralsnog) geen invulling aan dit begrip (ook niet bij telefonisch navragen). De Belgische privacywaakhond heeft hierover wel al een advies gepubliceerd. Volgens de Belgische autoriteit zijn verwerkingen die verband houden met klantenbeheer, personeelsbeheer (human resources) of leveranciersbeheer al geen incidentele verwerkingen. Ervan uitgaande dat dit begrip in Nederland ook zo moet worden uitgelegd (het gaat immers om een verordening die in de hele Europese Unie op dezelfde wijze moet worden gehanteerd), lijkt het er dus op dat (vrijwel) iedere onderneming een register zal moeten bijhouden (zo ongeveer elke onderneming heeft immers wel een klanten- of leveranciersbestand).

Aan de slag

Ook uw onderneming of organisatie zal dus aan de slag moeten met een privacybeleid en het opstellen van een verwerkingsregister. Daarnaast brengt de AVG andere verplichtingen met zich mee. Meer weten? Neem contact op met Marijn Kingma, of geef u op voor ons seminar over de AVG op 2 november as.