Een van de belangrijke wijzigingen in de GDPR ten opzichte van de Wet bescherming persoonsgegevens (Wbp), is art 30. Hierin wordt de verwerkingsverantwoordelijke onder sommige omstandigheden verplicht een ‘eigen’ register van de verwerkingsactiviteiten te onderhouden. Ook moeten de door hem ingeschakelde verwerker(s) (en vertegenwoordigers van die verwerker(s)) een ‘eigen’ register bijhouden van alle categorieën van verwerkingsactiviteiten die hij voor zijn verwerkingsverantwoordelijke(n) verricht. Kort gezegd: de meldplicht uit de Wbp is vervangen door een ‘eigen’ registratieplicht.

Dit blog beperkt zich tot het bespreken van het door de verwerkingsverantwoordelijke (artikel 30, lid 1 a – f) aan te leggen ‘register van verwerkingsactiviteiten’.

De verwerkingsverantwoordelijke ex art 30 GDPR

Niet iedere verwerkingsverantwoordelijke is verplicht een register aan te leggen. Hij is niet vrijgesteld indien er sprake is van:

• een risicovolle verwerking;
• een structurele verwerking;
• verwerkingen van bijzondere of strafrechtelijke persoonsgegevens;
• een verwerkingsverantwoordelijke met 250 of meer personeelsleden.

Is een van die omstandigheden van toepassing, dan is de verwerkingsverantwoordelijke niet vrijgesteld. Dit betekent dat hij voor iedere daaronder vallende verwerking (‘processing’) de volgende zaken moet gaan registreren:

1. Naam en contactgegevens van de verwerkingsverantwoordelijke(n) en, indien van toepassing, ook van zijn ‘vertegenwoordiger’ en ‘functionaris voor gegevensbescherming’.
2. De verwerkingsdoeleinden, waarbij nadrukkelijk rekening gehouden moet worden dat het kan voorkomen dat een verwerking meerdere doelen kan dienen, met ieder weer een eigen wettelijke grondslag.
3. De beschrijving van de categorieën van bij de verwerking horende ‘betrokkenen’ en ‘persoonsgegevens’.
4. De categorieën van ontvangers van de persoonsgegevens, waarbij het van belang is vast te stellen waar deze zijn gevestigd en of het internationale organisaties betreft. Is er sprake van het laatste, dan dienen ook de documenten inzake de passende waarborgen opgenomen te worden.
5. De beoogde bewaartermijnen van de persoonsgegevens voor zover deze zijn vast te stellen.
6. Een algemene omschrijving van de door de verwerkingsverantwoordelijke getroffen technische en organisatorische beveiligingsmaatregelen.

Een hele klus dus, die je in eerste instantie liever aan je voorbij ziet gaan. Toch kun je de vraag stellen of het wel zo slim is om, als dat mogelijk is, van deze vrijstelling gebruik te maken. Want wat doe je als:

• er sprake is van een datalek binnen je organisatie;
• een betrokkene (lees klant, patiënt, burger, etc.) je vraagt welke persoonsgegevens van hem/haar worden verwerkt;
• door het verstrijken van de op de persoonsgegevens van toepassing zijnde bewaartermijn gegevens moeten worden gewist;
• Een verzoek ligt om persoonsgegevens te wijzigen/verbeteren.

Het onder dergelijke omstandigheden kunnen beschikken over een ‘register van verwerkingsactiviteiten’ waarin onder andere staat aangegeven wie welke persoonsgegevens waar verwerkt en met wie deze werden/worden gedeeld, kan veel tijd, geld en imagoschade besparen.

Maar er is nog een andere reden waarom het aanleggen van een dergelijk register zinvol is. Zoals in een eerdere blog aangegeven, is het niet ongewoon dat er in bijna iedere organisatie op meerdere plaatsen gegevens van dezelfde soort worden verzameld. Denk bijvoorbeeld aan de vele bestanden met contactgegevens die binnen bedrijven worden onderhouden. Je kunt je de vraag stellen of we het overzicht niet zijn kwijtgeraakt. Of we nog wel weten welke gegevens we verzamelen, onderhouden, delen en wat dit ons allemaal wel niet kost.

Het is de opvatting van PrivacyO dat ondanks de vrijstelling, het toch aan te raden is om dit ‘register van verwerkingsactiviteiten’ aan te leggen. Iedere organisatie creëert hiermee voor zichzelf de mogelijkheid om ‘schoon schip’ te maken c.q. dat zij het door het aanleggen van dit register het gebruik van gegevens in de eigen organisatie kan optimaliseren en daarmee mogelijk kosten kan besparen.

Ondanks dat bij het schrijven van onze blogs door de schrijvers naar beste weten is getracht om correcte informatie te verstrekken, is het gebruik van de informatie voor eigen risico.

Om bedrijven op weg te helpen naar de implementatie van de GDPR, schrijft PrivacyO over deze 13 blogs een Whitepaper met de titel ‘GDPR made easier’. Deze zal voor iedereen beschikbaar zijn. Ook een exemplaar? Neem dan contact op met ons via sales@privacyo.eu.