De Autoriteit Persoonsgegevens (AP) heeft op 28 november 2018 vijf aanbevelingen gepubliceerd over het register dat op grond van de AVG moet worden bijgehouden. Deze aanbevelingen zijn het gevolg van de inventarisatie bij de AP onder 30 bedrijven en instellingen.
De aanbevelingen
De aanbevelingen luiden als volgt:
- Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
- Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
- Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
- Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
- Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
Kort commentaar
Het valt op dat de Autoriteit Persoonsgegevens de registerplicht en de verantwoordingsplicht uit de AVG combineert. Nergens staat echter in de AVG dat verantwoording via het register moet plaatsvinden. Er staat alleen in overweging 82 dat het register moet bestaan vanwege de verantwoordingsplicht.
Verder vallen puntsgewijs de volgende zaken op:
- Volgens artikel 30 AVG in lid 1 onder f hoeven bewaartermijnen alleen 'indien mogelijk' vermeld te worden. Waarom de AP hier nu toch een verplichting van maakt is onduidelijk.
- Contactgegevens moeten inderdaad op grond van 30.1a AVG worden opgenomen in het register;
- Op grond van de AVG mag het register op papier worden gesteld (artikel 30.3 AVG). De eis van een bestand is dus in strijd met de AVG. Overzichtelijkheid lijkt een redelijke eis.
- De opslaglocatie van persoonsgegevens is geen wettelijk verplicht element. Het lijkt wel een praktische tip.
- De AP wil kennelijk dat het register wordt opgezet per verwerking/verwerkingsactiviteit, niet per afdeling of per systeem. Op zichzelf sluit dit wel enigszins aan bij de systematiek van het oude Vrijstellingsbesluit. Het staat echter nergens in de AVG. De AVG zelf laat eigenlijk volstrekt in het midden hoe het register wordt opgezet/ingedeeld (of je moet dit inlezen in het woord "verwerkingsactiviteiten"in 30.1 AVG).
En of de indeling per verwerking nu heel veel meer duidelijkheid schept is ook de vraag, nu een verwerking volgens de AVG zelf zowel een enkelvoudige proces als "een geheel van bewerkingen" kan zijn (artikel 4.2 AVG). Het blijft toch enigszins arbitrair waar een verwerkingsproces begint en eindigt, zeker gelet op de neiging gegevens steeds meer te koppelen/integreren in overkoepelende systemen (CRM, ERP, DMS).
Ten slotte
Heeft u vragen over het privacyrecht? Neem gerust contact op.
