Verwerkingsregister ook voor kleine werkgevers
09 november, 2018 – Marius Rebel
Wanneer bent u verplicht een verwerkingsregister (bij) te houden?
Enige maanden geleden trad de Algemene Verordening Persoonsgegevens (AVG) in werking. Op 17 juli 2018 heeft de Autoriteit Persoonsgegevens (AP) aangekondigd dat zij een onderzoek is gestart naar de naleving van privacyregels door private sectoren. De AP onderzoekt steekproefsgewijs bij 30 grote organisaties uit tien sectoren of zij een register van verwerkingsactiviteiten bijhouden. Ondernemingen en organisatie zijn verplicht om het register aan de AP te verstrekken wanneer zij daar om vragen. Maar wanneer bent u als ondernemer verplicht om een verwerkingsregister bij te houden?
De hoofdregel is dat iedere verwerkingsverantwoordelijke en iedere verwerker een register van alle verwerkingsactiviteiten moeten houden. Op deze hoofdregel wordt in de verordening een uitzondering gemaakt voor ondernemingen en organisaties met minder dan 250 werknemers in dienst. De tekst van artikel 30 lid 5 AVG luidt als volgt:
‘De (…) verplichtingen zijn niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens (…) betreft.’
Volgens deze tekst is het uitgangspunt dat een onderneming met minder dan 250 werknemers in dienst geen verwerkingsregister hoeft te houden. Verrichten zij een of meer van de volgende typen verwerkingen dan zijn zij registerplichtig:
- de verwerking houdt een risico in voor betrokkenen; en/of
- de verwerking is niet incidenteel; en/of
- er worden bijzondere persoonsgegevens verwerkt.
Voor wat betreft de eerste voorwaarde volgt uit de considerans dat op basis van een objectieve beoordeling moet worden bepaald of een verwerking al dan niet een risico inhoudt. Verder is in de verordening bepaald welke gegevens als ‘bijzonder’ worden aangemerkt. Denk hierbij bijvoorbeeld aan gegevens over gezondheid of godsdienst. De tweede voorwaarde heeft voor verwarring gezorgd.
Volgens de Autoriteit Persoonsgegevens zijn in de praktijk verwerkingen ‘zelden incidenteel’. Als voorbeeld noemt de AP ‘persoonsgegevens van medewerkers die u verwerkt’. Op het moment dat u dus 1 of meer werknemers in dienst heeft, verwerkt u structureel persoonsgegevens. De grens van 250 werknemers is dan dus niet relevant. Strikt genomen kan er dan nooit sprake zijn van een uitzondering op de registerplicht op het moment dat u 1 of meer werknemers in dienst heeft.
In maart 2018 gaf Aleid Wolfsen (voorzitter van de Autoriteit Persoonsgegevens) in een interview voor BNR Nieuwsradio aan dat organisaties met minder dan 250 werknemers geen verwerkingsregister nodig hebben. Onder meer deze uitspraak heeft tot verwarring geleid bij ondernemers.
Is er sprake van een tegenstrijdigheid in artikel 30 lid 5 van de AVG? Of is er een andere uitleg mogelijk van artikel 30 lid 5 AVG?
In de considerans van de AVG staat dat de afwijking voor ondernemingen met minder dan 250 werknemers in dienst is opgenomen om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen. De lidstaten en hun toezichthoudende autoriteiten worden aangemoedigd om bij de toepassing van de AVG de specifieke behoeften van de kleine, middelgrote en micro-ondernemingen in aanmerking te nemen. Wat er wordt bedoeld met specifieke situatie of behoeften is niet nader beschreven. Hiermee zou kunnen worden bedoeld dat de AVG voor kleine ondernemingen niet een onevenredige hoge administratieve lastendruk moet veroorzaken.
Door de Artikel 29 werkgroep (WP29) is een aantal guidelines opgesteld die bepaalde begrippen uit de AVG verduidelijkt. Deze werkgroep bestond uit verschillende Europese toezichthouders. Per 25 mei 2018 is de European Data Protection Board (EDPB) opgericht waarin de voorzitters van alle nationale privacytoezichthouders samenwerken. Met de komst van de EDPB is de WP29 opgeheven.
Naar aanleiding van de vele vragen aan de nationale toezichthouders over de uitleg van de bepaling met betrekking tot de uitzondering op de registerplicht (artikel 30 lid 5 AVG), heeft de WP29 in april 2018 een Position Paper gepubliceerd. Zij geeft daarin een toelichting op de uitzondering voor ondernemingen met minder dan 250 werknemers.
Volgens de werkgroep zijn er drie typen verwerking waar de uitzondering niet op van toepassing is.
- de verwerking houdt een risico in voor de betrokkenen
- de verwerking is niet incidenteel
- de verwerking betreft bijzondere persoonsgegevens
De uitzondering ziet volgens de werkgroep dus op het type verwerking en niet zoals de tekst van de verordening luidt ‘op ondernemingen of organisaties’.
Organisaties met minder dan 250 werknemers in dienst, die één of meer van deze typen verwerkingen verrichten zijn verplicht een register van verwerkingsactiviteiten bij te houden, aldus de werkgroep. In het register hoeven dan alleen de verwerkingen opgenomen te worden zoals genoemd in artikel 30 lid 5 AVG (dat zijn de 3 hiervoor genoemde typen). De werkgroep noemt als voorbeeld een kleine onderneming die persoonsgegevens van haar werknemers verwerkt. Deze verwerking is niet incidenteel en moet daarom worden opgenomen in een verwerkingsregister, aldus de werkgroep.
Voorts schrijft de werkgroep dat het bijhouden van een verwerkingsregister geen bijzonder zware last is voor kleine ondernemingen. Opvallend is dat de werkgroep de nationale toezichthouders wel aanspoort om met tools en standaarden te komen voor kleine ondernemingen om gemakkelijker aan de registerplicht te kunnen voldoen. Als voorbeeld noemt de werkgroep het beschikbaar stellen op de website van de toezichthouder van een eenvoudig model voor het bijhouden van de drie typen verwerkingen.
Conclusie
Volgens de werkgroep moeten dus alle ondernemingen een register van verwerkingsactiviteiten (bij)houden, behalve ondernemingen die geen werknemers in dienst hebben. De verwerking van persoonsgegevens van werknemers is immers niet incidenteel. Ondernemingen met minder dan 250 werknemers hoeven in het register alleen de drie in de AVG genoemde typen van verwerkingen op te nemen, als daarvan sprake is. Deze mening van de werkgroep wijkt af van de tekst van de AVG.
Wij hebben voor u een model verwerkingsregister en kunnen u helpen met het invullen daarvan.