Eind maart 2018 zei de voorzitter van de Autoriteit Persoonsgegevens (AP) Aleid Wolfsen in een interview op BNR Nieuwsradio dat organisaties met minder dan 250 werknemers geen verwerkingsregister nodig hebben. Hierdoor ontstond er zeker binnen het MKB onduidelijkheid over de voorwaarden wanneer een verwerkingsregister noodzakelijk is. Opmerkelijk, omdat de AP op haar website (www.autoriteitpersoonsgegevens.nl) uitdrukkelijk vermeldt dat wanneer verwerkingen niet incidenteel zijn gewoon een verwerkingsregister noodzakelijk is.

Artikel 30 AVG

Conform art. 30 van de Algemene Verordening Gegevensbescherming (AVG) is een verwerkingsregister in beginsel noodzakelijk voor verantwoordelijken en verwerkers. Voor organisaties met minder dan 250 werknemers (MKB/SME) geldt dit ook, wanneer een verwerking:

•        niet incidenteel is;
•        een risico inhoudt voor de rechten en vrijheden van betrokkenen;
•        bijzondere (categorieën van) persoonsgegevens omvat.

Geen overbodige luxe

In een verwerkingsregister worden alle processen en datastromen geïdentificeerd, waarin de organisatie persoonsgegevens verwerkt. In zo’n verwerkingsregister worden voorts alle maatregelen opgenomen voor de bescherming van persoonsgegevens, zoals bewaartermijnen, toegangsautorisaties en passende technische en organisatorische beveiligingsmaatregelen. Daarnaast moet per proces of gegevensstroom de zogenaamde verwerkingsgrondslag bepaald worden, naast de identificatie van waarborgen voor bijvoorbeeld internationale gegevensdoorgifte. Daarmee is het verwerkingsregister ook hét ideale instrument voor een organisatie om alle gegevensstromen overzichtelijk in kaart te brengen en verantwoording te kunnen afleggen over de getroffen maatregelen ter bescherming van persoonsgegevens. Eenmaal ingevuld zal het verwerkingsregister moeten worden bijgehouden en periodiek moeten worden geëvalueerd. Een verwerkingsregister is relatief eenvoudig in te vullen, wanneer de organisatie op voorhand een zogenaamde data flowchart heeft gemaakt. Dat is niets anders dan een blauwdruk, waarbij alle gegevensstromen binnen de organisatie in kaart zijn gebracht/uitgetekend. Zo’n overzicht is ook los van privacywetgeving natuurlijk geen overbodige luxe.

Vrijwel altijd noodzakelijk

Na het ontstaan van de verwarring was het wachten op het standpunt van de Artikel-29 werkgroep (WP29). Op 20 april 2018 verscheen een Position Paper van de werkgroep met een toelichting op de noodzakelijkheid van een verwerkingsregister. In dit paper bevestigde de werkgroep dat wanneer een organisatie minder dan 250 werknemers heeft, maar verwerkingen niet incidenteel zijn, altijd een verwerkingsregister noodzakelijk is. Net zoals de AP op haar website, bevestigde de art. 29 werkgroep dat verwerkingen (ook in het MKB) zelden incidenteel zijn. De conclusie is dan ook dat vrijwel altijd een verwerkingsregister noodzakelijk zal zijn. Naar mijn mening is dit in ieder geval een wenselijke uitleg van art. 30 AVG.

Autoriteit Persoonsgegevens aan zet

Interessant is ook dat de werkgroep expliciete instructies geeft aan de nationale toezichthouders (waaronder de AP) om met tools en standaarden te komen om het voor organisaties met minder dan 250 werknemers (MKB/SME) gemakkelijker te maken om aan deze verplichting te voldoen. De AP is dus aan zet om zulke organisaties actief te helpen en zo ook administratieve lasten als gevolg van de AVG te verlagen.

Niet wachten op de toezichthouder en op tijd voldoen aan uw verplichting een verwerkingsregister bij te houden? Kneppelhout & Korthals biedt templates en verwerkingsregisters voor iedere organisatie, van welk formaat dan ook. Hulp nodig? Neem contact met ons op.

Robbert Santifort – advocaat privacyrecht