Verwerkingsregister

“Verwerkingsregister?” Tijdens mijn trainingen hoor ik mijn cursisten vaak zeggen: “Wij hoeven niet te voldoen aan de Europese privacywetgeving (GDPR / AVG) omdat bij ons minder dan 250 personen in dienst zijn.”

Misverstand!

Het bewuste artikel handelt niet om de gehele AVG maar alleen over de documentatieplicht voor ondernemingen.

In de wettekst wordt inderdaad gesproken over de documentatieplicht:

De in de leden 1 en 2 bedoelde verplichtingen (de documentatieplicht) zijn niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft.

AVG Artikel 30 Register van verwerkingsactiviteiten Lid 5.

De Crux

De verwarring ontstaat in de volgende zinssnede:

… tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft...

Tenzij groep

Om vast te stellen of de onderneming valt in de tenzij groep moet er een inventarisatie plaatsvinden van de verwerkingen, oftewel men moet een privacy administratie voeren.

Deze moet men opzetten en bijhouden om bij een bezoek van de autoriteit aan te kunnen tonen dat men voldoet aan de verordening.

Andere verplichtingen

Artikel 30 zegt alleen iets over de documentatieplicht. Ondernemingen moeten nog steeds voldoen aan de andere verplichtingen waarover documentatie moet worden aangelegd:

• De informatieplicht; zonder documentatie over wat men doet weet men niet waarover men de autoriteit of betrokkenen moet informeren.
• Faciliteren van de rechten van betrokkenen; zonder documentatie weet men niet waar de gegevens van betrokkenen zich bevinden. Bovendien zal het voor organisaties moeilijk zijn om binnen de wettelijke termijn van 4 weken te antwoorden op inzage of correctie verzoeken.
• De beveiligingsplicht; indien organisatie niet weten wat ze hebben (documentatie) zijn ze ook niet in staat de juiste en passende maatregelen te nemen om de persoonsgegevens te beveiligen.
• De meldplicht; organisaties moeten binnen de wettelijke termijn van 72 uur data lekken melden. Wanneer zij geen register van verwerkingen hebben zal een melding nooit op die termijn kunnen plaatsvinden. Zeker gezien de hoeveelheid informatie welke wordt gevraagd bij een melding. (https://datalekken.autoriteitpersoonsgegevens.nl/melding/aanmaken?1)

Kip of Ei?

Dus elke onderneming moet een privacy administratie opzetten om te kunnen vaststellen dat men geen documentatieplicht heeft.

Daarnaast zullen zij moeten kunnen voldoen aan de andere wettelijke verplichtingen binnen gestelde termijnen.

Conclusie

Zet altijd een privacy administratie op.

Is documentatie niet een verplichting dan nog is deze noodzakelijk om aan de andere verplichtingen te voldoen.

Verder verschaft een privacy administratie een dieper inzicht en overzicht.

Afgestemd op jouw behoeften

Pact-privacy® is een compleet product met handige wizards en vooringevulde templates.

Tijdens de demo staan wij graag zoveel mogelijk stil bij oplossingen waar jij naar op zoek bent.

Ontdek in onze product tour alvast over welke features jij meer over wilt horen.

Contact