Blog

AVG-serie: documentatieplicht

De Algemene Verordening Gegevensbescherming (‘AVG’) is per 25 mei 2018 van toepassing zijn. Vanaf die datum zijn organisaties dan verplicht een register voor de verwerkingsactiviteiten bij te houden. Deze plicht rust zowel op verantwoordelijken als op bewerkers.

De Algemene Verordening Gegevensbescherming (‘AVG’) is per 25 mei 2018 van toepassing zijn. Vanaf die datum zijn organisaties dan verplicht een register voor de verwerkingsactiviteiten bij te houden. Deze plicht rust zowel op verantwoordelijken (organisaties die doeleinden en middelen van verwerking van persoonsgegevens bepalen) als op bewerkers (organisaties die in opdracht van de verantwoordelijke persoonsgegevens verwerken).

Maar wat moeten organisaties dan allemaal documenteren? Rust deze verplichting ook op kleine organisaties? En wat betekent dit concreet voor uw organisatie? Deze vragen zullen hieronder worden beantwoord, maar eerst wordt nog kort stilgestaan bij de huidige wet- en regelgeving.

Wat verandert er ten opzichte van de huidige wetgeving?

Op grond van de Wet bescherming persoonsgegevens (‘Wbp’) zijn verantwoordelijken verplicht om geautomatiseerde verwerkingen van persoonsgegevens bij de Autoriteit Persoonsgegevens te melden. Deze meldplicht geldt niet voor bewerkers.

De melding omvat onder andere een beschrijving van de categorieën van persoonsgegevens, de doeleinden van verwerking en de voorgenomen doorgiften van persoonsgegevens naar landen buiten de EU. Deze meldingen zijn terug te vinden in het openbare meldingsregister van de Autoriteit Persoonsgegevens.

Zodra de AVG van toepassing is, vervalt de plicht om gegevensverwerkingen bij de toezichthouder te melden. In plaats daarvan moeten organisaties zelf een register gaan bijhouden van verwerkingsactiviteiten (‘verwerkingsregister’) die onder hun verantwoordelijkheid plaatsvinden. Dit wordt ook wel de documentatieplicht genoemd.

Verwerkingsregister

Het verwerkingsregister moet in schriftelijke vorm worden opgesteld. Dat betekent echter niet dat het een papieren register moet zijn, want ook een register in elektronische vorm valt onder dit schriftelijkheidsvereiste. Organisaties zijn verplicht dit register ter beschikking te stellen op verzoek van de Autoriteit Persoonsgegevens, zodat zij kan controleren of organisaties de juiste maatregelen hebben getroffen om aan de AVG te voldoen.

Het verwerkingsregister van verantwoordelijken moet in elk geval de volgende informatie bevatten:

  • de naam en contactgegevens van de verantwoordelijke en, in voorkomend geval, van de functionaris voor gegevensbescherming;
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  • doorgiften van persoonsgegevens aan landen buiten de EU en aan internationale organisaties;
  • de bewaartermijnen van de verschillende categorieën persoonsgegevens; en
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen.

Hoewel bewerkers op grond van de Wbp niet verplicht zijn om verwerkingen bij de toezichthouder te melden, worden zij onder de AVG wel verplicht gesteld om een verwerkingsregister bij te houden. Dit verwerkingsregister hoeft echter minder informatie te omvatten dan het register van verantwoordelijken; namelijk:

  • de naam en contactgegevens van de verantwoordelijke en, in voorkomend geval, van de functionaris voor gegevensbescherming;
  • de categorieën van verwerkingen die voor elke verantwoordelijke zijn uitgevoerd;
  • doorgiften van persoonsgegevens aan landen buiten de EU en aan internationale organisaties; en
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen.

Kleine organisaties

Om rekening te houden met de specifieke situatie van kleine en middelgrote organisaties maakt de AVG een uitzondering op de documentatieplicht. Organisaties met minder dan 250 personen in dienst hoeven geen verwerkingsregister bij te houden, tenzij de verwerking een risico inhoudt voor de rechten en vrijheden van betrokkenen, de verwerking bijzondere categorieën van persoonsgegevens of persoonsgegevens in verband met strafbare feiten betreft of de verwerking niet incidenteel is. Dit laatste punt leidt er in de praktijk toe dat ook de meeste kleine en middelgrote organisaties niet zullen ontkomen aan het bijhouden van een verwerkingsregister.

Wat betekent dit voor uw organisatie?

  1. Gegevensverwerkingen in kaart brengen

Als uw organisatie verplicht is om een verwerkingsregister bij te gaan houden, is het noodzakelijk om eerst alle verwerkingsactiviteiten binnen uw organisatie in kaart te brengen. U moet hierbij niet alleen denken aan persoonsgegevens van uw klanten, patiënten en leerlingen, maar ook aan persoonsgegevens van uw werknemers en leveranciers. Informeer dus naar de verwerkingen van persoonsgegevens binnen verschillende afdelingen in uw organisatie.

  1. Register inrichten

Zodra u op de hoogte bent van de diverse verwerkingen binnen uw organisatie kunt u het verwerkingsregister gaan inrichten. U kunt ervoor kiezen dit register in een regulier spreadsheet-programma bij te houden, maar u kunt natuurlijk ook een speciale digitale omgeving in (laten) richten door uw IT-afdeling. Overigens worden er al diverse tools op de markt aangeboden die u hiervoor kunt gebruiken.

  1. Register up-to-date houden

Tot slot is het natuurlijk de kunst om dit register up-to-date te houden. Het is handig om deze verantwoordelijkheid bij één persoon neer te leggen. Binnen een grote organisatie is dat echter niet altijd mogelijk. Het kan dan helpen om technische procedures in te richten, zodat het register (automatisch) wordt geactualiseerd zodra gegevensstromen worden aangepast.

Auteur

Expertises

Deel dit artikel

Meer blogs

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.

/LEES MEER

Kyara van Roessel versterkt Louwers IP&Tech Advocaten

Per 1 augustus 2024 heeft Kyara van Roessel zich aangesloten bij Louwers IP&Tech Advocaten. Kyara zal de groeiende merken- en modellenregistratiepraktijk binnen Louwers IP&Tech Advocaten ondersteunen.

Louwers bestuurslid Vereniging IE Proces Advocaten

Op 12 september 2024 is Ernst-Jan Louwers toegetreden tot het bestuur van de Vereniging Intellectuele Eigendom Proces Advocaten (VIEPA). VIEPA is een specialisatievereniging erkend door de Nederlandse Orde van Advocaten.

/LEES MEER

Louwers bestuurslid Vereniging IE Proces Advocaten

Op 12 september 2024 is Ernst-Jan Louwers toegetreden tot het bestuur van de Vereniging Intellectuele Eigendom Proces Advocaten (VIEPA). VIEPA is een specialisatievereniging erkend door de Nederlandse Orde van Advocaten.

Familienaam als handelsnaam: geen probleem (?)

Veel bedrijven kiezen ervoor om een familienaam als handelsnaam te voeren. Een familienaam voelt immers al snel vertrouwd (ons kantoor heeft die keuze ook gemaakt). Maar pas op: oudere handelsnamen of merken kunnen aan het gebruik van een familienaam in de weg staan.  Even ter inleiding. Een handelsnaam is de naam waaronder een onderneming wordt […]

/LEES MEER

Familienaam als handelsnaam: geen probleem (?)

Veel bedrijven kiezen ervoor om een familienaam als handelsnaam te voeren. Een familienaam voelt immers al snel vertrouwd (ons kantoor heeft die keuze ook gemaakt). Maar pas op: oudere handelsnamen of merken kunnen aan het gebruik van een familienaam in de weg staan.  Even ter inleiding. Een handelsnaam is de naam waaronder een onderneming wordt […]

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: bijzondere of gevoelige persoonsgegevens 

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege het lekken van bijzondere of gevoelige persoonsgegevens.

/LEES MEER

Het recht op immateriële schadevergoeding op grond van de AVG

Immateriële schadevergoeding bij datalek: bijzondere of gevoelige persoonsgegevens 

In 2023 oordeelde het Hof van Justitie dat een inbreuk op de AVG niet automatisch recht geeft op een schadevergoeding. In deze blog behandelen wij de Nederlandse rechtspraak omtrent het recht op immateriële schadevergoeding vanwege het lekken van bijzondere of gevoelige persoonsgegevens.