ris-rijkschroeff-juristen
contact

Wanneer zijn kleine ondernemingen verplicht om een verwerkingsregister te hebben?

Er is bijna geen organisatie die geen persoonsgegevens verwerkt. Onder de aankomende Europese privacywetgeving is het vaak verplicht om een verwerkingsregister bij te houden. In dit artikel gaan we in op wat een verwerkingsregister precies is en wie een verwerkersregister moet bijhouden.

Register- en documentatieplicht

Anders dan onder de huidige Wet bescherming persoonsgegevens, hoeven organisaties onder de nieuwe Europese privacywetgeving de verwerking van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens. Organisaties moeten daarentegen wel zelf documenteren welke verwerkingen zij doen, daarbij moet worden bijgehouden welke beheersmaatregelen er voorhanden zijn. 

Dit houdt dus in dat de organisatie zelf een overzicht moet opstellen en bijhouden voor wat betreft de verwerking van persoonsgegevens. Hiervoor is het noodzakelijk om in kaart te brengen welke afdelingen er persoonsgegevens verwerken, welke processen daarbij worden gebruikt en op welke betrokkenen de verwerking betrekking heeft. Wanneer dit eenmaal in kaart is gebracht, moet er in het register onder andere worden opgenomen wat het doel van de verwerking is en wat de contactgegevens van de verantwoordelijke zijn.

Het bijhouden van het register geeft de organisatie een overzicht van de verwerkingen, dat bijvoorbeeld gebruikt kan worden op het moment dat een betrokkene een verzoek tot inzage of verwijdering doet.

Wanneer bent u verplicht om een verwerkingsregister bij te houden

Iedere organisatie die 250 of meer werknemers in dienst heeft, is verplicht om een verwerkingsregister bij te houden. Houdt dat in dat organisaties met minder werknemers in dienst het niet verplicht zijn? Wanneer de organisatie een van de volgende verwerkingen verricht, is ook zij verplicht om een verwerkingsregister bij te houden:

  • Het verwerken van persoonsgegevens houdt een risico in voor de betrokkenen of;
  • Het verwerken van persoonsgegevens is niet incidenteel of;
  • Er is sprake van het verwerken van strafrechtelijke gegevens of van bijzondere persoonsgegevens

Vaak zal het bij kleine ondernemingen aankomen op of de verwerking wel of niet incidenteel is. Incidentele verwerking van persoonsgegevens moet worden gezien als verwerking die hooguit een paar keer per jaar voor zou kunnen komen. Hierbij moet bijvoorbeeld worden gedacht aan het doorgeven van een adreswijziging aan klanten.

Het moet dus gaan om een structurele verwerking van persoonsgegevens. Hier is bijvoorbeeld sprake van wanneer er een klantenservice is of wanneer er een maandelijkse nieuwsbrief wordt verstuurd. Wanneer er een klantenservice is, dan worden er gegevens opgevraagd over bijvoorbeeld een bestelling. Daarbij worden vaak de naam en adresgegevens van de klant gevraagd om de gegevens op te zoeken. Of wanneer de organisatie nieuwsbrieven verstuurt, dan worden de (e-mail)adressen structureel gebruikt om de nieuwsbrief naar toe te sturen.

In tegenstelling tot de Wet bescherming persoonsgegevens, kent de Algemene Verordening Gegevensbescherming geen vrijstellingsbesluit. Dat houdt in dat verwerkingen die nu niet hoeven worden gemeld, straks wel moeten worden geregistreerd.

Conclusie

Wanneer kleine ondernemingen moeten voldoen aan de verwerkingsregisterplicht is afhankelijk van hoe structureel, of juist incidenteel, persoonsgegevens worden verwerkt of hoe groot het risico van het verwerken van persoonsgegevens voor de betrokkenen is. Het komt erop neer dat veel kleine ondernemingen wel verplicht zijn om een verwerkingsregister aan te leggen en te onderhouden. 

Als organisatie is het dus van belang dat u goed op de hoogte bent van alle verwerkingen van persoonsgegevens binnen de organisatie. Ook is het van belang om goed op de hoogte te zijn van alle veranderingen en verplichtingen die de Europese privacywetgeving met zich mee brengt en van toepassing is op uw organisatie. Het is dan ook aan te raden om samen met een gespecialiseerde jurist alle processen te beoordelen en uw organisatie compliant te maken met de Algemene Verordening Gegevensbescherming.

Mocht u nadere informatie willen over dit onderwerp of een afspraak willen maken dan kunt u contact opnemen via het telefoonnummer 020 - 491 78 01 of u kunt een email sturen naar info@ris-rijkschroeff.nl.