De Algemene Verordening Gegevensbescherming verplicht veel - maar zeker niet alle (!) - organisaties om een interne administratie aan te leggen van alle verwerkingen van persoonsgegevens (artikel 30). Deze documentatieplicht of registerplicht is de opvolger van de huidige meldplicht (artikel 27). Is het dus handig om bestaande meldingen als basis te gebruiken voor het opstellen van het register? In deze blog sta ik daar bij stil.
Documentatieplicht / registerplicht
Op grond van artikel 30 van de AVG moeten organisaties een register bijhouden waarin wordt vastgelegd wat er in de organisatie met persoonsgegevens gebeurt.
Deze verplichting geldt voor (samengevat):
- organisaties met 250 personeelsleden of meer; of
- organisaties die op structurele basis bijzondere of strafrechtelijke persoonsgegevens verwerken.
Opvolger meldplicht
De registerplicht is de opvolger van de huidige meldplicht (artikel 27 Wet bescherming persoonsgegevens).
Toch zijn er wel enkele verschillen:
- de meldplicht verplichtte tot een melding bij de Autoriteit Persoonsgegevens (dus extern register), terwijl de registerplicht verplicht to het bijhouden van een intern register;
- de omvang van de verplichtingen verschilt;
- de meldplicht kende een vrijstelling voor 'alledaagse verwerkingen', de registerplicht niet.
Verschillen in omvang
De (interne) registerplicht is weliswaar de opvolger van de (externe) meldplicht, dat wil niet zeggen dat er precies dezelfde informatie moet worden bijgehouden. Zie voor de verschillenanalyse onderaan de blog. Bestaande meldingen kunnen dus niet 1-op-1 worden hergebruikt.
Geen vrijstelling meer
Bovendien vervalt de vrijstelling voor alledaagse verwerkingen uit het Vrijstellingsbesluit. Dat betekent dat in het interne register straks alle verwerkingen moeten worden gedocumenteerd. Opeens moeten daar dus ook de onschuldige zaken als de dagelijkse bezoekersregistratie en de kentekenherkenning bij de parkeerautomaat in worden verwerkt.
Nog steeds actueel?
Verder is natuurlijk de vraag of historische meldingen nog steeds actueel zijn. De ervaring leert dat veel meldingen onder de meldplicht al wat ouder zijn en sindsdien niet meer zijn bijgewerkt. Het opstellen van het interne register is dus het moment om nog eens kritisch naar het geheel te kijken.
Hulp nodig?
Heeft u vragen over de AVG of anderszins over het privacyrecht? Neem dan gerust contact op.
Bijlage: verschillenanalyse
Zie voor de verschillen in rood.
| Artikel 27 Wbp | Artikel 30 AVG |
|---|---|
| a. de naam en het adres van de verantwoordelijke; | a. de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming; |
| b. het doel of de doeleinden van de verwerking; | b. de verwerkingsdoeleinden |
| c. een beschrijving van de categorieën van betrokkenen en van de gegevens of categorieën van gegevens die daarop betrekking hebben; | c. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; |
| d. de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt; | d. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties; |
| e. de voorgenomen doorgiften van gegevens naar landen buiten de Europese Unie; | e. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen |
| f. indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; | |
| f. een algemene beschrijving om een voorlopig oordeel te kunnen geven over de gepastheid van de voorgenomen maatregelen om, ter toepassing van artikel 13 en 14, de beveiliging van de verwerking te waarborgen. | indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1. |
