Opstellen verwerkingsregister verplicht of niet?

bekijk de blog hier

In artikel 30 lid 5 AVG valt te lezen dat ondernemingen of organisaties niet verplicht zijn een verwerkingsregister bij te houden indien:

de onderneming of organisatie  minder dan 250 personen in dienst heeft, “tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft”.

Wat houdt dit nu concreet in? Concreet betekent dit dat u geen verwerkingsregister hoeft bij te houden indien uw organisatie minder dan 250 medewerkers heeft. U bent als organisatie met minder dan 250 medewerkers weer wél wettelijk verplicht een verwerkingsregister bij te houden indien:

• De verwerking van persoonsgegeven niet incidenteel is. Deze uitzondering gaat in de praktijk zelden op. Verwerkingen zijn immers zelden incidenteel; of
• Persoonsgegevens worden verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de betrokkenen; of
• Bijzondere persoonsgegevens worden verwerkt. Dit zijn bijvoorbeeld  gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

Vooral het feit dat in de praktijk vrijwel nooit sprake is van een incidentele verwerking, betekent dat vrijwel iedere organisatie wettelijk verplicht is een verwerkingsregister bij te houden.

 De Europese privacytoezichthouders hebben een Position paper uitgebracht waarin zij nader ingaan op de hierboven genoemde wettelijke uitzonderingen (zie hier link naar de Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR). Hierin wordt nog eens benadrukt dat organisaties met minder dan 250 medewerkers alleen een verwerkingsregister hoeven bij te houden voor “the types of processing mentioned by Article 30(5)”. Deze toelichting lijkt overbodig, eenvoudigweg omdat dit reeds voortvloeit uit de tekst van artikel 30 lid 5 AVG. De Europese privacytoezichthouders illustreren de wettelijke regeling met een aantal voorbeelden:

“For example, a small organisation is likely to regularly process data regarding its employees. As a result, such processing cannot be considered “occasional” and must therefore be included in the record of processing activities. Other processing activities which are in fact “occasional”, however, do not need to be included in the record of processing activities, provided they are unlikely to result in a risk to the right and freedoms of data subjects and do not involve special categories of data or personal data relating to criminal convictions and offences”.

Ook ondernemingen met minder dan 250 medewerkers zijn doorgaans verplicht een verwerkingsregister bij te houden. Uit artikel 30 lid 4 AVG volgt dat deze ondernemingen dan ook verplicht zijn het verwerkingsregister desgevraagd ter beschikking te stellen indien de toezichthoudende autoriteit daarom vraagt.

Heeft u nog vragen, neemt u dan contact op met  Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity