Privacy: Autoriteit Persoonsgegevens doet vijf aanbevelingen voor registers van verwerkingen

Mr R. (Ramses) de Leeuw I 30 november 2018 I Leestijd: ongeveer 3 minuten

Op 28 november 2018 heeft de Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens (AP), vijf concrete aanbevelingen gedaan ten behoeve van het zogenaamde register van verwerkingen.

Een register van verwerkingen is – kort gezegd – een (intern) register waarin ondernemingen of organisaties de belangrijkste informatie bijhouden over de verwerkingen van persoonsgegevens die onder hun verantwoordelijkheid plaatsvinden. Onder ‘verwerken’ vallen alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, zoals in ieder geval het verzamelen, ordenen, raadplegen, bewaren, doorzenden en vernietigen van gegevens. In de praktijk is een degelijk register van verwerkingen de basis voor andere privacydocumenten die een onderneming of organisatie mogelijk moet aanhouden, zoals privacyverklaringen en verwerkersovereenkomsten.

Het bijhouden van een register van verwerkingen is op grond van artikel 30 lid 1 van de AVG verplicht, tenzij het gaat om een onderneming of organisatie die minder dan 250 personen in dienst heeft. Deze uitzondering voor kleine ondernemingen of organisaties gaat echter weer niet op als er sprake is van één van de volgende drie uitzonderingsgronden:

  • de verwerking brengt waarschijnlijk een risico voor betrokkenen met zich mee; of
  • de verwerking is niet incidenteel; of
  • er is sprake van de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten.

Aanbevelingen Autoriteit Persoonsgegevens

Op basis van een verkennend onderzoek onder dertig grote organisaties uit tien private sectoren doet de AP op haar website de volgende vijf concrete aanbevelingen:

  1. “Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
  2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
  3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
  4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
  5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.”

Opvallend is dat de AP met haar aanbevelingen op bepaalde punten verder lijkt te gaan dan de tekst van de AVG. In haar eerste aanbeveling lijkt de AP bijvoorbeeld te eisen dat wordt benoemd hoe lang persoonsgegevens worden bewaard. De AVG vereist echter slechts bewaartermijnen ‘indien mogelijk’ (artikel 30 lid 1 aanhef en onder f AVG). Een aantal aanbevelingen lijkt vooral praktisch van aard, en – de term ‘aanbeveling’ zegt het al – niet zozeer een (bindende) interpretatie van de AVG. Dit neemt echter niet weg dat ondernemingen en organisaties er goed aan doen de praktische aanbevelingen van de AP zoveel mogelijk over te nemen.

Zoals gezegd is het register de basis voor het naleven van de privacyregelgeving. De quote van AP-voorzitter Aleid Wolfsen bij de aanbevelingen in dit kader is ook veelzeggend:

“De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft.”

Hieruit blijkt dat de AP – terecht – veel waarde hecht aan de kwaliteit van het register van verwerkingen.

Als u naar aanleiding van dit bericht vragen hebt, dan kunt u contact opnemen met Mr R. (Ramses) de Leeuw.

Volg Schaap Advocaten Notarissen op LinkedIn.

COVID-19 mededeling

Ook in deze bijzondere tijden staan wij voor u klaar. Wij hebben maatregelen genomen zodat wij onze diensten aan u kunnen blijven verlenen. Neem dus gerust contact met ons op. U kunt op ons rekenen.

Als het voor de dienstverlening noodzakelijk is dat u bij ons op kantoor komt, dan ontvangt u een protocol met maatregelen voor uw en onze veiligheid.

Voor ondernemers hebben onze specialisten documenten opgesteld om de onderneming én de ondernemer te helpen in deze bijzondere tijden (zie onderaan deze mededeling).

COVID-19 notice

We are also there for you during these special times. We have taken measures so that we can continue to provide our services to you. Feel free to contact us. You can count on us.

If it is necessary for our services that you come to our office, you will receive a protocol with measures for your and our safety.

For entrepreneurs, our specialists have drawn up a document with tips to help both the company and the entrepreneur to manage insolvency risks due to the corona crisis.

Tips voor het ondernemen in bijzondere tijden: NOW, WHOA, digitaal vergaderen (NL)