Blog

AVG-serie: documentatieplicht

De Algemene Verordening Gegevensbescherming (‘AVG’) is per 25 mei 2018 van toepassing zijn. Vanaf die datum zijn organisaties dan verplicht een register voor de verwerkingsactiviteiten bij te houden. Deze plicht rust zowel op verantwoordelijken als op bewerkers.

De Algemene Verordening Gegevensbescherming (‘AVG’) is per 25 mei 2018 van toepassing zijn. Vanaf die datum zijn organisaties dan verplicht een register voor de verwerkingsactiviteiten bij te houden. Deze plicht rust zowel op verantwoordelijken (organisaties die doeleinden en middelen van verwerking van persoonsgegevens bepalen) als op bewerkers (organisaties die in opdracht van de verantwoordelijke persoonsgegevens verwerken).

Maar wat moeten organisaties dan allemaal documenteren? Rust deze verplichting ook op kleine organisaties? En wat betekent dit concreet voor uw organisatie? Deze vragen zullen hieronder worden beantwoord, maar eerst wordt nog kort stilgestaan bij de huidige wet- en regelgeving.

Wat verandert er ten opzichte van de huidige wetgeving?

Op grond van de Wet bescherming persoonsgegevens (‘Wbp’) zijn verantwoordelijken verplicht om geautomatiseerde verwerkingen van persoonsgegevens bij de Autoriteit Persoonsgegevens te melden. Deze meldplicht geldt niet voor bewerkers.

De melding omvat onder andere een beschrijving van de categorieën van persoonsgegevens, de doeleinden van verwerking en de voorgenomen doorgiften van persoonsgegevens naar landen buiten de EU. Deze meldingen zijn terug te vinden in het openbare meldingsregister van de Autoriteit Persoonsgegevens.

Zodra de AVG van toepassing is, vervalt de plicht om gegevensverwerkingen bij de toezichthouder te melden. In plaats daarvan moeten organisaties zelf een register gaan bijhouden van verwerkingsactiviteiten (‘verwerkingsregister’) die onder hun verantwoordelijkheid plaatsvinden. Dit wordt ook wel de documentatieplicht genoemd.

Verwerkingsregister

Het verwerkingsregister moet in schriftelijke vorm worden opgesteld. Dat betekent echter niet dat het een papieren register moet zijn, want ook een register in elektronische vorm valt onder dit schriftelijkheidsvereiste. Organisaties zijn verplicht dit register ter beschikking te stellen op verzoek van de Autoriteit Persoonsgegevens, zodat zij kan controleren of organisaties de juiste maatregelen hebben getroffen om aan de AVG te voldoen.

Het verwerkingsregister van verantwoordelijken moet in elk geval de volgende informatie bevatten:

  • de naam en contactgegevens van de verantwoordelijke en, in voorkomend geval, van de functionaris voor gegevensbescherming;
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  • doorgiften van persoonsgegevens aan landen buiten de EU en aan internationale organisaties;
  • de bewaartermijnen van de verschillende categorieën persoonsgegevens; en
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen.

Hoewel bewerkers op grond van de Wbp niet verplicht zijn om verwerkingen bij de toezichthouder te melden, worden zij onder de AVG wel verplicht gesteld om een verwerkingsregister bij te houden. Dit verwerkingsregister hoeft echter minder informatie te omvatten dan het register van verantwoordelijken; namelijk:

  • de naam en contactgegevens van de verantwoordelijke en, in voorkomend geval, van de functionaris voor gegevensbescherming;
  • de categorieën van verwerkingen die voor elke verantwoordelijke zijn uitgevoerd;
  • doorgiften van persoonsgegevens aan landen buiten de EU en aan internationale organisaties; en
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen.

Kleine organisaties

Om rekening te houden met de specifieke situatie van kleine en middelgrote organisaties maakt de AVG een uitzondering op de documentatieplicht. Organisaties met minder dan 250 personen in dienst hoeven geen verwerkingsregister bij te houden, tenzij de verwerking een risico inhoudt voor de rechten en vrijheden van betrokkenen, de verwerking bijzondere categorieën van persoonsgegevens of persoonsgegevens in verband met strafbare feiten betreft of de verwerking niet incidenteel is. Dit laatste punt leidt er in de praktijk toe dat ook de meeste kleine en middelgrote organisaties niet zullen ontkomen aan het bijhouden van een verwerkingsregister.

Wat betekent dit voor uw organisatie?

  1. Gegevensverwerkingen in kaart brengen

Als uw organisatie verplicht is om een verwerkingsregister bij te gaan houden, is het noodzakelijk om eerst alle verwerkingsactiviteiten binnen uw organisatie in kaart te brengen. U moet hierbij niet alleen denken aan persoonsgegevens van uw klanten, patiënten en leerlingen, maar ook aan persoonsgegevens van uw werknemers en leveranciers. Informeer dus naar de verwerkingen van persoonsgegevens binnen verschillende afdelingen in uw organisatie.

  1. Register inrichten

Zodra u op de hoogte bent van de diverse verwerkingen binnen uw organisatie kunt u het verwerkingsregister gaan inrichten. U kunt ervoor kiezen dit register in een regulier spreadsheet-programma bij te houden, maar u kunt natuurlijk ook een speciale digitale omgeving in (laten) richten door uw IT-afdeling. Overigens worden er al diverse tools op de markt aangeboden die u hiervoor kunt gebruiken.

  1. Register up-to-date houden

Tot slot is het natuurlijk de kunst om dit register up-to-date te houden. Het is handig om deze verantwoordelijkheid bij één persoon neer te leggen. Binnen een grote organisatie is dat echter niet altijd mogelijk. Het kan dan helpen om technische procedures in te richten, zodat het register (automatisch) wordt geactualiseerd zodra gegevensstromen worden aangepast.

Auteur

Expertises

Deel dit artikel

Meer blogs

Data Act: onterecht onderbelicht!

De Data Act (Verordening (EU) 2023/2854) is met ingang van 12 september 2025 rechtstreeks van toepassing in de hele Europese Unie (EU). De Data Act is specifiek gericht op het reguleren van de toegang tot en het delen van data binnen de EU, met als doel innovatie te stimuleren en eerlijke concurrentie te waarborgen.

/LEES MEER

Data Act: onterecht onderbelicht!

De Data Act (Verordening (EU) 2023/2854) is met ingang van 12 september 2025 rechtstreeks van toepassing in de hele Europese Unie (EU). De Data Act is specifiek gericht op het reguleren van de toegang tot en het delen van data binnen de EU, met als doel innovatie te stimuleren en eerlijke concurrentie te waarborgen.

Webinar commerciële/IE-contracten 2024

Op 6 november 2024 presenteerden Ernst-Jan Louwers en Nathalie van der Zande een live webinar over commerciële/IE-contracten voor de Academie voor de Rechtspraktijk. In dit webinar, dat bestaat uit twee blokken van een uur, deelden zij praktische inzichten en bespraken zij actuele kwesties binnen dit vakgebied. Het webinar is on demand terug te kijken.

/LEES MEER

Webinar commerciële/IE-contracten 2024

Op 6 november 2024 presenteerden Ernst-Jan Louwers en Nathalie van der Zande een live webinar over commerciële/IE-contracten voor de Academie voor de Rechtspraktijk. In dit webinar, dat bestaat uit twee blokken van een uur, deelden zij praktische inzichten en bespraken zij actuele kwesties binnen dit vakgebied. Het webinar is on demand terug te kijken.

AVG, gerechtvaardigd belang

AVG en gerechtvaardigd belang: wat de KNLTB-zaak betekent voor uw organisatie

Recent verduidelijkte het Hof dat commerciële belangen onder voorwaarden kunnen gelden als gerechtvaardigd belang voor gegevensverwerking onder de AVG. In deze blog bespreken we de uitspraak en geven we een 5-stappenplan voor het verwerken van persoonsgegevens op grond van gerechtvaardigde belangen.

/LEES MEER

AVG, gerechtvaardigd belang

AVG en gerechtvaardigd belang: wat de KNLTB-zaak betekent voor uw organisatie

Recent verduidelijkte het Hof dat commerciële belangen onder voorwaarden kunnen gelden als gerechtvaardigd belang voor gegevensverwerking onder de AVG. In deze blog bespreken we de uitspraak en geven we een 5-stappenplan voor het verwerken van persoonsgegevens op grond van gerechtvaardigde belangen.