Toelichting Privacy Verordening II: Het register van verwerkingsactiviteiten

  In mijn eerste blog over dit onderwerp gaf ik al aan dat vanaf 25 mei 2018 de algemene verordening gegevensbescherming, oftewel de privacy verordening, van kracht wordt. Deze verordening heeft de status van een Europese wet en geldt rechtstreeks in de landen van de Europese Unie, en dus ook in Nederland. In een aantal blogs ga ik in op de nieuwe plichten die op ondernemingen en publieke instellingen gaan rusten door deze verordening, zodat de lezer zo goed mogelijk de tijd kan nemen om zich voor te bereiden. In deze editie besteed ik aandacht aan het register van de verwerkingsactiviteiten. Register van verwerkingsactiviteiten Vanaf 25 mei 2018 is iedere verwerkingsverantwoordelijke (in de WBP nog: de verantwoordelijke genoemd) in de zin van de verordening verplicht om een register bij te houden van de verwerkingsactiviteiten met betrekking tot de persoonsgegevens, die onder de verantwoordelijkheid van de verwerkingsverantwoordelijke plaatsvinden. U bent een verwerkingsverantwoordelijke indien u het doel en de middelen voor verwerking van persoonsgegevens vaststelt. Anders gezegd, indien u voor de dagelijkse activiteiten van uw onderneming of publieke instelling gebruik maakt van persoonsgegevens dan bent u daarvoor verantwoordelijk. Hieronder kunnen bijvoorbeeld  de gegevens van uw eigen personeel vallen. In de verordening is opgesomd welke gegevens in dit register bijgehouden moeten worden. Voordat ik daaraan toe kom, wijs ik er echter op dat er een uitzondering is voor de plicht om een register bij te houden, indien de onderneming of publieke instelling minder dan 250 personen in dienst heeft. Die uitzondering geldt dan weer niet in het geval dat de verwerking van persoonsgegevens die de onderneming of publieke instelling doet, een risico inhoudt voor de rechten en vrijheden van de betrokkene, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens bevat. Met andere woorden, op de uitzondering om het register bij te houden, bestaat ook weer een brede uitzondering. Dit betekent dus ook dat een groot deel van de ondernemingen en publieke instellingen, ook die met minder dan 250 man personeel, zich in ieder geval zullen moeten afvragen of op hen ook de plicht rust om het register bij te houden. In dit register worden de volgende zaken in ieder geval vermeld:

• De naam en contactgegevens van de verwerkingsverantwoordelijke;
• De verwerkingsdoeleinden;
• Een beschrijving van de categorieën van betrokkene en van de categorieën van persoonsgegevens;
• De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt;
• Eventuele passende waarborgen indien de gegevens buiten de Europese Unie worden verplaatst;
• De termijnen waarbinnen de verschillende categorieën van gegevens worden gewist;
• Een algemene omschrijving van de technische en organisatorische beveiligingsmaatregelen van de gegevens.

Naast de verwerkingsverantwoordelijke moet straks ook de verwerker (onder de huidige Wbp: de bewerker genoemd) ook een register bij gaan houden. In dit register moeten de volgende gegevens worden opgenomen:

• De naam en de contactgegevens van de verwerkers en van de verwerkingsverantwoordelijke;
• De categorieën van verwerkingen die onder de verantwoordelijkheid van de verwerkingsverantwoordelijke zijn uitgevoerd;
• Indien van toepassing, doorgiften van persoonsgegevens aan landen buiten de Europese Unie of een internationale organisatie;
• Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Voor beide registers geldt dat de registratieplicht niet zover gaat dat per individueel geval geregistreerd moet worden welk persoonsgegeven precies van welke persoon worden bijgehouden. Wel moet iedere verwerkingsverantwoordelijke op ieder moment aan de toezichthoudende autoriteit (in Nederland is dat de Autoriteit Persoonsgegevens) inzage kunnen geven in de manier waarop persoonsgegevens worden verwerkt en welke categorie persoonsgegevens daarbij worden onderscheiden. Dit register moet in een schriftelijke vorm (elektronisch valt daar ook onder) zijn opgesteld. Het ligt voor de hand om een en ander dus in een Excel bestand of vergelijkbaar softwareprogramma op te slaan. Concrete tips Hoewel het dus niet verplicht is om per betrokkene bij te houden wat er exact is opgeslagen, op welk moment en waarom, is het wel raadzaam om dit zoveel mogelijk wel te doen en daar nu al mee te beginnen. Want hoewel het strikt genomen niet verplicht is voor dit register, hebben betrokkenen wel de mogelijkheid om inzage te vragen in de manier waarop hun persoonsgegevens worden verwerkt. Daarbij mogen ze dus ook weten wanneer de gegevens zijn verwerkt, welke gegevens het precies betreft en met welke doeleinden en bovendien hebben ze het recht om wijziging van de gegevens te verlangen. Als dit niet goed wordt geadministreerd is het dus heel moeilijk om die verplichting na te komen, met alle gevolgen van dien. In een latere blog ga ik hier overigens nog nader op in. Een andere concrete tip is om er nu al voor te zorgen dat dit register aangelegd gaat worden. De verplichting om een dergelijk register te hebben geldt immers met onmiddellijke ingang vanaf 25 mei 2018 en wanneer u dan pas aan het bouwen van een dergelijk register gaat beginnen, duurt het nog langer voordat er ook daadwerkelijk een inzichtelijk register is. Het loont derhalve zeker de moeite om nu al iemand vrij te maken c.q. iemand in te huren om een dergelijk register op te gaan stellen. Tot zover het blog met betrekking tot het register van de verwerkingsactiviteiten. In mijn volgende blog zal ik aandacht besteden aan het recht van betrokkenen om inzage te krijgen in hun gegevens, deze gegevens op een gemakkelijke wijze overgedragen te krijgen en het recht vergeten te worden. Zie ook pagina Privacy