AVG-serie: documentatieplicht

De Algemene Verordening Gegevensbescherming (‘AVG’) zal per 25 mei 2018 van toepassing zijn. Vanaf die datum zijn organisaties dan ook verplicht een register voor de verwerkingsactiviteiten bij te houden. Deze plicht rust zowel op verantwoordelijken (organisaties die doeleinden en middelen van verwerking van persoonsgegevens bepalen) als op bewerkers (organisaties die in opdracht van de verantwoordelijke persoonsgegevens verwerken).

Maar wat moeten organisaties dan allemaal documenteren? Rust deze verplichting ook op kleine organisaties? En wat betekent dit concreet voor uw organisatie? Deze vragen zullen hieronder worden beantwoord, maar eerst wordt nog kort stilgestaan bij de huidige wet- en regelgeving.

Wat verandert er ten opzichte van de huidige wetgeving?

Op grond van de Wet bescherming persoonsgegevens (‘Wbp’) zijn verantwoordelijken verplicht om geautomatiseerde verwerkingen van persoonsgegevens bij de Autoriteit Persoonsgegevens te melden. Deze meldplicht geldt niet voor bewerkers.

De melding omvat onder andere een beschrijving van de categorieën van persoonsgegevens, de doeleinden van verwerking en de voorgenomen doorgiften van persoonsgegevens naar landen buiten de EU. Deze meldingen waren terug te vinden in het openbare meldingsregister van de Autoriteit Persoonsgegevens.

Zodra de AVG van toepassing is, vervalt de plicht om gegevensverwerkingen bij de toezichthouder te melden. In plaats daarvan moeten organisaties zelf een register gaan bijhouden van verwerkingsactiviteiten (‘verwerkingsregister’) die onder hun verantwoordelijkheid plaatsvinden. Dit wordt ook wel de documentatieplicht genoemd.

Verwerkingsregister

Het verwerkingsregister moet in schriftelijke vorm worden opgesteld. Dat betekent echter niet dat het een papieren register moet zijn, want ook een register in elektronische vorm valt onder dit schriftelijkheidsvereiste. Organisaties zijn verplicht dit register ter beschikking te stellen op verzoek van de Autoriteit Persoonsgegevens, zodat zij kan controleren of organisaties de juiste maatregelen hebben getroffen om aan de AVG te voldoen.

Het verwerkingsregister van verantwoordelijken moet in elk geval de volgende informatie bevatten:

  • de naam en contactgegevens van de verantwoordelijke en, in voorkomend geval, van de functionaris voor gegevensbescherming;
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  • doorgiften van persoonsgegevens aan landen buiten de EU en aan internationale organisaties;
  • de bewaartermijnen van de verschillende categorieën persoonsgegevens; en
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen.

Hoewel bewerkers op grond van de Wbp niet verplicht zijn om verwerkingen bij de toezichthouder te melden, worden zij onder de AVG wel verplicht gesteld om een verwerkingsregister bij te houden. Dit verwerkingsregister hoeft echter minder informatie te omvatten dan het register van verantwoordelijken; namelijk:

  • de naam en contactgegevens van de verantwoordelijke en, in voorkomend geval, van de functionaris voor gegevensbescherming;
  • de categorieën van verwerkingen die voor elke verantwoordelijke zijn uitgevoerd;
  • doorgiften van persoonsgegevens aan landen buiten de EU en aan internationale organisaties; en
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen.

Kleine organisaties

Om rekening te houden met de specifieke situatie van kleine en middelgrote organisaties maakt de AVG een uitzondering op de documentatieplicht. Organisaties met minder dan 250 personen in dienst hoeven geen verwerkingsregister bij te houden, tenzij de verwerking een risico inhoudt voor de rechten en vrijheden van betrokkenen, de verwerking bijzondere categorieën van persoonsgegevens of persoonsgegevens in verband met strafbare feiten betreft of de verwerking niet incidenteel is. Dit laatste punt leidt er in de praktijk toe dat ook de meeste kleine en middelgrote organisaties niet zullen ontkomen aan het bijhouden van een verwerkingsregister.

Wat betekent dit voor uw organisatie?

  1. Gegevensverwerkingen in kaart brengen

Als uw organisatie verplicht is om een verwerkingsregister bij te gaan houden, is het noodzakelijk om eerst alle verwerkingsactiviteiten binnen uw organisatie in kaart te brengen. U moet hierbij niet alleen denken aan persoonsgegevens van uw klanten, patiënten en leerlingen, maar ook aan persoonsgegevens van uw werknemers en leveranciers. Informeer dus naar de verwerkingen van persoonsgegevens binnen verschillende afdelingen in uw organisatie.

  1. Register inrichten

Zodra u op de hoogte bent van de diverse verwerkingen binnen uw organisatie kunt u het verwerkingsregister gaan inrichten. U kunt ervoor kiezen dit register in een regulier spreadsheet-programma bij te houden, maar u kunt natuurlijk ook een speciale digitale omgeving in (laten) richten door uw IT-afdeling. Overigens worden er al diverse tools op de markt aangeboden die u hiervoor kunt gebruiken.

  1. Register up-to-date houden

Tot slot is het natuurlijk de kunst om dit register up-to-date te houden. Het is handig om deze verantwoordelijkheid bij één persoon neer te leggen. Binnen een grote organisatie is dat echter niet altijd mogelijk. Het kan dan helpen om technische procedures in te richten, zodat het register (automatisch) wordt geactualiseerd zodra gegevensstromen worden aangepast.

Meer weten?

Twijfelt u of uw organisatie verplicht is een verwerkingsregister op te stellen? Wilt u meer informatie over de soorten persoonsgegevens die in het register moeten worden opgenomen? Of heeft u andere vragen over de AVG?

Neem dan contact op met Huub de Jong of Tom de Wit.