Het zal inmiddels niemand ontgaan zijn dat organisaties die persoonsgegevens verwerken meer verplichtingen hebben zodra de Algemene verordening gegevensbescherming (AVG), vanaf 25 mei 2018, twee jaar na inwerkingtreding, van toepassing is. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden. Organisaties hebben daarom een documentatieplicht. Organisaties moeten een register bijhouden van alle verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden.
In een notendop houdt dit in dat organisaties met documenten moeten kunnen aantonen dat zij passende en doeltreffende organisatorische en technische maatregelen ten uitvoer hebben gelegd om gevolg te kunnen geven aan de beginselen en verplichtingen uit de AVG. Organisaties dienen dit register desgevraagd te verstrekken aan de toezichthoudende autoriteit (in Nederland: de Autoriteit Persoonsgegevens) met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten.
Gegevens
Kort gezegd is de verwerkingsverantwoordelijke degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze. Elke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatshebben. Daaronder vallen dus ook de personeelsadministratie en klantenbestanden. Dat register bevat alle volgende gegevens:
- De naam en de contactgegevens van de verantwoordelijke;
- Indien aangewezen, naam en contactgegevens van de functionaris voor gegevensbescherming (privacy officer);
- De doeleinden van de verwerking;
- Een beschrijving van de categorieën van betrokkenen (degenen wiens persoonsgegevens worden verwerkt);
- Een beschrijving van de categorieën van persoonsgegevens (bijvoorbeeld naw-gegevens, BSN, financiële gegevens, e-mailadressen);
- De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in landen buiten de EER, internationale organisaties of verwerkers;
- De termijnen waarbinnen de verschillende categorieën van gegevens worden gewist;
- Een beschrijving van de technische en organisatorische beveiligingsmaatregelen.
Een verwerkingsverantwoordelijke kan de verwerking van persoonsgegevens uitbesteden aan een derde partij. De verwerker is degene die in opdracht en ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Veelvoorkomende voorbeelden van verwerkers zijn aanbieders van hostingdiensten, callcenters, datacenters en (salaris)administratiekantoren. De verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verantwoordelijke hebben verricht. De verwerker neemt in zijn register op: de contactgegevens van zijn opdrachtgever, de categorieën verwerkingen die zijn uitgevoerd, eventuele doorgiften buiten de EU en, indien mogelijk, een algemene beschrijving van de beveiligingsmaatregelen.
Uiteraard zijn verwerkers zelf verwerkingsverantwoordelijke voor onder meer hun eigen personeelsadministratie en klantenbestand. Daar moeten ze dan ook een register van bijhouden.
Uitzondering
Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen kent de AVG een uitzondering voor dergelijke organisaties voor wat betreft de documentatieplicht. De documentatieplicht is namelijk niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens (bijvoorbeeld gegevens over iemands ras, godsdienst of gezondheid) betreft.
Door / Lora Mourcous, legal counsel bij SOLV Advocaten in Amsterdam.
Deze Even Opfrissen is ook verschenen in Advocatenblad 2018-04. De hele editie is hier te bekijken.