blog

    Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 1: Documentatieplicht

    Monique Hennekens
    Monique HennekensPublicatiedatum: 27 januari 2017Laatste update: 14 augustus 2019
    Tien dingen die u niet wilt, maar wel moet weten over de Privacy-verordening: Deel 1: Documentatieplicht

    Organisaties krijgen tot 25 mei 2018 om de nieuwe regels van de Algemene Verordening Gegevensbescherming (AVG) te implementeren. Dat lijkt nog ver weg, maar om privacy compliant te zijn moet er wel wat gebeuren. Dit is deel 1 van onze blogreeks “Tien dingen die u niet wilt, maar wel moet weten over de komende Privacy-verordening”.

    Documentatieplicht

    Deze verplichting brengt de grootste wijziging van de komende privacyregelgeving. Op dit moment moet wel worden voldaan aan (de beginselen van) de Wet bescherming persoonsgegevens, maar dat hoeft niet te zijn vastgelegd. Onder de Algemene Verordening Gegegensbescherming (AVG) komt deze verplichting er wel. Iedere organisatie zal aan de hand van documenten moeten kunnen aantonen dat wordt voldaan aan de AVG. Deze verplichting komt in plaats van de huidige meldingsplicht, waarbij gegevensverwerkingen in principe gemeld moeten worden bij de Autoriteit Persoonsgegevens. Van die meldingsplicht waren echter de meest gangbare verwerkingen, zoals personeelsadministratie, ledenadministratie, bezoekersregistratie of klantenbestanden vrijgesteld. Deze meldingsplicht werd bovendien niet gehandhaafd. Daar gaat verandering in komen. Iedere organisatie, dus zowel verantwoordelijken als bewerkers, zullen op verzoek van de Autoriteit Persoonsgegevens documenten moeten kunnen tonen waaruit blijkt dat zij voldoen aan de privacy regelgeving. Dit volgt uit artikel 30 van de AVG. Het wordt daarmee een stuk eenvoudiger voor de Autoriteit Persoonsgegevens om de naleving van de AVG te controleren.

    Register verantwoordelijke

    Een verantwoordelijke (onder de AVG “verwerkingsverantwoordelijke”) is degene die het doel van en de middelen voor de verwerking van de persoonsgegevens vaststelt. Zo is een werkgever de verantwoordelijke ten opzichte van zijn personeelsgegevens, een ziekenhuis voor haar patiëntgegevens, een winkel ten aanzien van het klantenbestand.

    De organisatie zal voor alle gegevensverwerkingen waarvoor zij de verantwoordelijke is een register moeten bijhouden met de volgende gegevens:

    • de naam en contactgegevens van de verantwoordelijke en (indien die er is) van de functionaris voor de gegevensbescherming (privacy officer);
    • de doeleinden waarvoor de persoonsgegevens worden verwerkt;
    • een beschrijving van de groep(en) personen waar de gegevens betrekking op hebben en van de categorieën van persoonsgegevens (NAW gegevens, medische gegevens, financiële gegevens, etc);
    • degenen aan wie de persoonsgegevens worden verstrekt en of deze zich buiten de EU bevinden (bijvoorbeeld cloud providers);
    • of de persoonsgegevens worden doorgegeven aan een land buiten de EU of internationale organisatie en zo ja, hoe voldaan wordt aan de wettelijke regels daaromtrent;
    • een beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen met betrekking tot deze persoonsgegevens;
    • indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist (bewaartermijn);

    Register bewerker

    Een bewerker (onder de AVG: “verwerker”) is degene die in opdracht en ten behoeve van een ander persoonsgegevens verwerkt (diensten verleend), zonder onder diens gezag te staan. Bijvoorbeeld een salarisadministratiekantoor voor de salarissen van werknemers van andere werkgevers, een cloud provider voor de opslag van klantenbestanden van webwinkels, een systeembeheerder voor het onderhoud van de systemen van derden.

    Als een organisatie als bewerker optreedt zal deze een register moeten bijhouden van alle categorieën van verwerkingsactiviteiten die zij voor een verantwoordelijke verricht waarin de volgende gegevens zijn opgenomen:

    • de naam en de contactgegevens van de verwerker en van iedere verantwoordelijke voor wie hij gegevens verwerkt en (indien die er is) van de functionaris voor de gegevensbescherming (privacy officer);
    • de categorieën van verwerkingen per verantwoordelijke;
    • of de persoonsgegevens worden doorgegeven aan een land buiten de EU of internationale organisatie en zo ja, hoe voldaan wordt aan de wettelijke regels daaromtrent;
    • een beschrijving van de technische en organisatorische beveiligingsmaatregelen die de bewerker treft.

    Uitzondering voor het MKB?

    In de overwegingen van de AVG is opgenomen dat rekening gehouden wordt met de specifieke situatie van kleine, middelgrote en micro-ondernemingen. Om die reden  kent de AVG “een afwijking” voor organisaties met minder dan 250 werknemers wat het bijhouden van registers betreft. In de tekst van artikel 30 AVG over de documentatieplicht is opgenomen dat de genoemde registratieverplichtingen niet gelden voor organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens betreft. Door deze uitzonderingen op de uitzondering lijkt de verplichting voor het MKB niet veel kleiner dan voor andere organisaties, want de meeste verwerkingen zijn niet incidenteel. En een personeelsadministratie bevat bijvoorbeeld altijd bijzondere persoonsgegevens, zoals het BSN van werknemers.

    Stap 1: inventarisatie gegevensstromen

    De eerste stap die gezet kan worden op weg naar het voldoen aan de documentatieplicht is het in kaart brengen van alle verwerkingen van persoonsgegevens binnen uw organisatie.

    Wilt u advies of liever een stappenplan voor het implementeren van de komende privacyregelgeving, neem dan contact op met Marieke Thijssen of Monique Hennekens

    Het volgende deel van deze blogreeks gaat over “Doel, doelbinding en wettelijke grondslag”.