Op 25 mei 2018 treedt de Europese Privacyverordening (de AVG) in werking. Dit houdt in dat uw organisatie vanaf dat moment moet voldoen aan deze wetgeving. De AVG brengt een aantal veranderingen voor uw organisatie met zich. Bent u al op hoogte van deze wijzigingen en is uw organisatie al AVG-proof?
Om ervoor te zorgen dat uw organisatie op 25 mei 2018 AVG-proof is, zullen wij u de komende maanden op de hoogte houden van de belangrijkste wijzigingen. Een van de belangrijkste wijzigingen, en eigenlijk de meest omvangrijke, is “de documentatieplicht”. In onderstaande blog zal ik kort uiteenzetten waar u allemaal aan moet denken en hoe u als organisatie kunt voldoen aan deze plicht.
Documentatieplicht AVG
De documentatieplicht houdt in dat organisaties - zodra zij gegevensverwerkers zijn - aan moeten kunnen tonen dat zij voldoen aan de nieuwe wetgeving en dat zij alle passende en noodzakelijke technische en organisatorische maatregelen hebben getroffen om aan de verordening te voldoen.
De AVG regelt in artikel 30 dat gegevensverwerkers zelf moeten kunnen aantonen dat zij de verordening naleven. Om dit te kunnen doen, dienen bedrijven een register bij te houden waarin alle verwerkingsactiviteiten zijn opgenomen. Dit register zal op eerste verzoek van de Autoriteit moeten worden getoond.
Het register dient in ieder geval de volgende gegevens te bevatten:
- Overzicht van gegevens die worden verwerkt en wat de doeleinden zijn voor deze verwerkingen;
- Contactgegevens van de verantwoordelijke;
- Overzicht van bewerkers;
- Bewaartermijnen;
- De in acht genomen beveiligingsmaatregelen.
Op het moment dat u een bewerker bent, wordt ook verwacht dat u een register bijhoudt. De bewerker dient een register bij te houden van alle categorieën van verwerkingsactiviteiten die hij ten behoeve van een verantwoordelijke heeft verricht. Denk hierbij aan de volgende gegevens:
- De contactgegevens van de bewerker;
- De contactgegevens van iedere verantwoordelijke voor rekening waarvan de bewerker heeft gehandeld en handelt;
- De categorieën van verwerkingen die voor rekening van iedere verantwoordelijke zijn uitgevoerd;
- Of er al dan niet doorgifte aan een land buiten de EER heeft plaatsgevonden;
- De getroffen technische en organisatorische maatregelen.
Uitzondering op de documentatieplicht
De documentatieplicht zorgde voor de nodige onrust bij kleinere organisaties. Immers, het opzetten van een register vergt veel tijd en energie en zorgt aldus voor een behoorlijk administratieve last. In de verordening lijkt in eerste instantie aan de onrust tegemoet te zijn gekomen. Zo is de documentatieplicht niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben. Wees evenwel alert.
Op deze uitzondering geldt een uitzondering voor verwerkingen die een risico inhouden voor de rechten en vrijheden van de betrokkenen, voor verwerkingen die niet incidenteel zijn, of voor verwerkingen van bijzondere categorieën van gegevens (bijvoorbeeld medische of strafrechtelijke gegevens en BSN-nummers). Let hierbij op: de verwerking van personeelsgegevens valt hier dus al onder.
Tip: breng alle verwerkingen in kaart
Ondanks dat voor kleinere organisaties in beginsel geen documentatieplicht geldt, verdient het aanbeveling om toch alle verwerkingen in kaart te brengen. Immers, organisaties dienen zorgvuldig om te gaan met de verwerking van persoonsgegevens en dienen betrokkenen te kunnen informeren over wat met hun gegevens gebeurt. Daarnaast zult u mee moeten werken aan verzoeken van betrokkenen aangaande aanpassing dan wel verwijdering van hun gegevens. Hiervoor zal je moeten weten op welke plaatsen de persoonsgegevens allemaal verwerkt zijn. Om er zeker van te zijn dat alle verwerkingen op zorgvuldige wijze plaatsvinden, zal je zowel binnen een grote als een kleine organisatie alle verwerkingen langs moeten gaan. Begin hier als organisatie ook tijdig mee.
Heeft u vragen over de implementatie van de AVG, neem dan gerust contact met JPR op.