Moeten kleine mkb-bedrijven ook een verwerkingsregister bijhouden? Ja, mits…

MKB-ondernemingen met minder dan 250 werknemers krijgen geen ontheffing van de registerplicht voor de privacywet GDPR. Daar hadden diverse Europese belangenorganisaties voor kleine ondernemingen voor gepleit. Maar de administratieve druk wordt wel verlicht.

De Artikel 29-werkgroep (WP29) van verschillende nationale privacytoezichthouders in Europa hebben zich over het verzoek van tientallen belangenorganisaties gebogen en bepaald dat alle bedrijven – groot en klein – een register van verwerkingen moeten bijhouden.

De WP29 zijn wel deels tegemoet gekomen aan het verzoek om rekening te houden met de admistratieve lastendruk voor kleine ondernemingen. Er komt een uitzondering voor bepaalde verwerkingen.

Ondernemers hoeven incidentele verwerkingen die geen noemenswaardige gevolgen hebben voor privacy van betrokkenen en waarbij geen bijzondere gegevens worden gebruikt niet te vermelden in het verwerkingsregister.

Regelmatige verwerkingen van je HR-gegevens en CRM-gegevens moeten wel vastgelegd worden in een verwerkingsregister.

De verplichting tot het vastleggen van verwerkingen van persoonsgegevens in een register van verwerkingen staat in artikel 30 van de AVG / GDPR.

Het standpunt van de WP29 over de afwijking van deze verplichting is uiteengezet in zogenoemde guidelines.

De WP29 schrijft:

“Om rekening te houden met de specifieke situatie van micro-, kleine en middelgrote ondernemingen voorziet deze verordening in een afwijking met betrekking tot het bijhouden van registers voor organisaties met minder dan 250 werknemers. Artikel 30, lid 5, geeft uitvoering aan overweging 13.

De verplichting om een register bij te houden van de verwerkingen is niet van toepassing op een onderneming of organisatie met minder dan 250 werknemers, tenzij de verwerkingen die zij verrichten een risico voor de rechten en vrijheden van de betrokkenen kunnen opleveren, de verwerkingen niet occasioneel zijn of de verwerkingen bijzondere categorieën gegevens als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 omvatten.”

“Een aantal verduidelijkingen in de interpretatie van deze bepaling lijken noodzakelijk, zoals blijkt uit het grote aantal verzoeken van ondernemingen die de afgelopen maanden door de nationale toezichthoudende autoriteiten zijn ontvangen.”

Er zijn drie soorten verwerking waarop de versoepeling van registerplicht niet van toepassing is.

  • Verwerking die waarschijnlijk een risico voor de rechten en vrijheden van de betrokkenen inhoudt.
  • Verwerking die niet incidenteel is.
  • Verwerking die bijzondere gegevenscategorieën of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten omvat.

Organisaties hoeven volgens de WP29 alleen een register bij te houden van de verwerkingsactiviteiten voor de in artikel 30, lid 5, genoemde soorten verwerking.

De WP29 benadrukt dat de registratie van verwerkingsactiviteiten een zeer nuttig middel is om een analyse van de gevolgen van elke bestaande of geplande verwerking te ondersteunen.

De registratie vergemakkelijkt volgens de WP29 de feitelijke beoordeling van het risico van de verwerkingsactiviteiten die een voor de verwerking verantwoordelijke of verwerker met betrekking tot de rechten van personen verricht, en de vaststelling en uitvoering van passende beveiligingsmaatregelen ter bescherming van persoonsgegevens.

Dit zijn twee essentiële onderdelen van het in de GDPR vervatte verantwoordingsbeginsel.

Voor veel kleine, middelgrote en micro-organisaties zal het bijhouden van een register van verwerkingsactiviteiten waarschijnlijk geen bijzonder zware last vormen volgens de WP29.

In de WP29 wordt gesteld dat artikel 30 een nieuwe administratieve vereiste vormt voor de verwerkingsverantwoordelijken en verwerkers. De nationale toezichthoudende autoriteiten – in Nederland de Autoriteit Persoonsgegevens – worden daarom door de WP29 aangemoedigd kleine ondernemingen te ondersteunen door instrumenten aan te reiken om het opzetten en beheren van vastleggingen van verwerkingsactiviteiten te vergemakkelijken.

Zo zou de Autoriteit Persoonsgegevens op haar website een vereenvoudigd model ter beschikking kunnen stellen dat door kmo’s kan worden gebruikt om een register bij te houden van verwerkingsactiviteiten die niet onder de afwijking van artikel 30, lid 5, vallen.