Privacy: Autoriteit Persoonsgegevens doet vijf aanbevelingen voor registers van verwerkingen

Mr R. (Ramses) de Leeuw I 30 november 2018 I Leestijd: ongeveer 3 minuten

Op 28 november 2018 heeft de Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens (AP), vijf concrete aanbevelingen gedaan ten behoeve van het zogenaamde register van verwerkingen.

Een register van verwerkingen is – kort gezegd – een (intern) register waarin ondernemingen of organisaties de belangrijkste informatie bijhouden over de verwerkingen van persoonsgegevens die onder hun verantwoordelijkheid plaatsvinden. Onder ‘verwerken’ vallen alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, zoals in ieder geval het verzamelen, ordenen, raadplegen, bewaren, doorzenden en vernietigen van gegevens. In de praktijk is een degelijk register van verwerkingen de basis voor andere privacydocumenten die een onderneming of organisatie mogelijk moet aanhouden, zoals privacyverklaringen en verwerkersovereenkomsten.

Het bijhouden van een register van verwerkingen is op grond van artikel 30 lid 1 van de AVG verplicht, tenzij het gaat om een onderneming of organisatie die minder dan 250 personen in dienst heeft. Deze uitzondering voor kleine ondernemingen of organisaties gaat echter weer niet op als er sprake is van één van de volgende drie uitzonderingsgronden:

  • de verwerking brengt waarschijnlijk een risico voor betrokkenen met zich mee; of
  • de verwerking is niet incidenteel; of
  • er is sprake van de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten.

Aanbevelingen Autoriteit Persoonsgegevens

Op basis van een verkennend onderzoek onder dertig grote organisaties uit tien private sectoren doet de AP op haar website de volgende vijf concrete aanbevelingen:

  1. “Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
  2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
  3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
  4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
  5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.”

Opvallend is dat de AP met haar aanbevelingen op bepaalde punten verder lijkt te gaan dan de tekst van de AVG. In haar eerste aanbeveling lijkt de AP bijvoorbeeld te eisen dat wordt benoemd hoe lang persoonsgegevens worden bewaard. De AVG vereist echter slechts bewaartermijnen ‘indien mogelijk’ (artikel 30 lid 1 aanhef en onder f AVG). Een aantal aanbevelingen lijkt vooral praktisch van aard, en – de term ‘aanbeveling’ zegt het al – niet zozeer een (bindende) interpretatie van de AVG. Dit neemt echter niet weg dat ondernemingen en organisaties er goed aan doen de praktische aanbevelingen van de AP zoveel mogelijk over te nemen.

Zoals gezegd is het register de basis voor het naleven van de privacyregelgeving. De quote van AP-voorzitter Aleid Wolfsen bij de aanbevelingen in dit kader is ook veelzeggend:

“De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft.”

Hieruit blijkt dat de AP – terecht – veel waarde hecht aan de kwaliteit van het register van verwerkingen.

Als u naar aanleiding van dit bericht vragen hebt, dan kunt u contact opnemen met Mr R. (Ramses) de Leeuw.

Volg Schaap Advocaten Notarissen op LinkedIn.