“Verwerkingsregister?” Tijdens mijn trainingen hoor ik mijn cursisten vaak zeggen: “Wij hoeven niet te voldoen aan de Europese privacywetgeving (GDPR / AVG) omdat bij ons minder dan 250 personen in dienst zijn.”
Het bewuste artikel handelt niet om de gehele AVG maar alleen over de documentatieplicht voor ondernemingen.
In de wettekst wordt inderdaad gesproken over de documentatieplicht:
De in de leden 1 en 2 bedoelde verplichtingen (de documentatieplicht) zijn niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft.
AVG Artikel 30 Register van verwerkingsactiviteiten Lid 5.
De verwarring ontstaat in de volgende zinssnede:
… tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft...
Om vast te stellen of de onderneming valt in de tenzij groep moet er een inventarisatie plaatsvinden van de verwerkingen, oftewel men moet een privacy administratie voeren.
Deze moet men opzetten en bijhouden om bij een bezoek van de autoriteit aan te kunnen tonen dat men voldoet aan de verordening.
Artikel 30 zegt alleen iets over de documentatieplicht. Ondernemingen moeten nog steeds voldoen aan de andere verplichtingen waarover documentatie moet worden aangelegd:
Dus elke onderneming moet een privacy administratie opzetten om te kunnen vaststellen dat men geen documentatieplicht heeft.
Daarnaast zullen zij moeten kunnen voldoen aan de andere wettelijke verplichtingen binnen gestelde termijnen.
Zet altijd een privacy administratie op.
Is documentatie niet een verplichting dan nog is deze noodzakelijk om aan de andere verplichtingen te voldoen.
Verder verschaft een privacy administratie een dieper inzicht en overzicht.
Pact-privacy® is een compleet product met handige wizards en vooringevulde templates.
Tijdens de demo staan wij graag zoveel mogelijk stil bij oplossingen waar jij naar op zoek bent.
Ontdek in onze product tour alvast over welke features jij meer over wilt horen.