Terug naar blogs

De meest gestelde vragen over de AVG: deel 1 – Minder dan 250 werknemers: toch een verwerkingsregister bijhouden?

12 maart 2018
|
Blogs

Op 25 mei 2018 treedt de nieuwe Europese privacywet in werking, de AVG. Deze wet roept nog veel vragen op bij organisaties. In deze blogserie gaan we in op enkele onderwerpen die we in de praktijk vaak voorbij zien komen. In deze eerste blog staat het verwerkingsregister centraal. 

Minder dan 250 werknemers: toch een verwerkingsregister bijhouden?

De AVG is helaas niet overal even duidelijk. Sommige artikelen bieden ruimte voor verschillende interpretaties. Een daarvan betreft de verplichting tot het opstellen en bijhouden van een register van verwerkingsactiviteiten (“verwerkingsregister”). Hierin moet onder meer worden beschreven welke soorten persoonsgegevens een organisatie verwerkt en voor welke doeleinden, met welke derden deze gegevens worden gedeeld, hoe lang deze bewaard worden en welke beveiligingsmaatregelen er worden toegepast.

Uitzondering voor kleine en middelgrote ondernemingen

De registerverplichting geldt niet voor organisaties die minder dan 250 werknemers in dienst hebben.

De Europese wetgever heeft hiermee bewust een uitzondering gecreëerd voor kleine en middelgrote ondernemingen om ervoor te zorgen dat de administratielast voor deze bedrijven niet te zwaar wordt. In de inleidende tekst van de AVG staat daarover het volgende: “Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat deze verordening een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van registers betreft.”

Om het niet al te gemakkelijk te maken zijn op deze uitzondering echter ook weer drie uitzonderingen van toepassing.

Niet incidenteel

Organisaties met minder dan 250 werknemers moeten toch een verwerkingsregister bijhouden indien:

  1. het waarschijnlijk is dat de verwerking een risico inhoudt voor de privacy van de betrokkene;
  2. de verwerking niet incidenteel is, of;
  3. de verwerking bijzondere of strafrechtelijke persoonsgegevens betreft.

De eerste en de derde voorwaarde zijn in de meeste gevallen duidelijk. Als je (structureel) gevoelige gegevens verwerkt zoals medische gegevens of strafrechtelijke gegevens, dan moet je een verwerkingsregister bijhouden.

Het is de tweede uitzondering die problemen oplevert. Want wanneer is nu een verwerking ‘niet incidenteel’? Als je deze term letterlijk uitlegt is vrijwel elke verwerking van persoonsgegevens niet incidenteel. Elke mkb-onderneming met een personeelsadministratie of een klantenbestand verwerkt met enige regelmaat persoonsgegevens, al is het maar het opmaken van een maandelijkse salarisstrook. Het kan toch niet de bedoeling zijn dat ook dan al een verwerkingsregister moet worden bijgehouden. Immers, dat leidt ertoe dat de hele uitzondering voor bedrijven met minder dan 250 werknemers zinloos is, omdat deze dan (vrijwel) nooit van toepassing zal zijn.

Nederland legt (te) ruim uit

Helaas, dat is nu juist wel de interpretatie die de Nederlandse wetgever – in de Memorie van Toelichting bij de Uitvoeringswet AVG (‘UAVG’) – en de Autoriteit Persoonsgegevens (‘AP’) – op haar website – aan de woorden ‘niet incidenteel’ geven. De door de overheid uitgegeven Handleiding AVG vermeldt het volgende: “Bij niet-incidentele verwerking kunt u denken aan elke verwerking met een zekere bestendigheid. Denk hierbij bijvoorbeeld aan het bijhouden van een klantendatabase of een personeelsadministratie. Aangezien veruit de meeste verwerkingen niet-incidenteel zijn, zal in de praktijk slechts in een beperkt aantal gevallen een beroep op deze uitzondering kunnen worden gedaan.”

Mijns inziens is de interpretatie die de Nederlandse wetgever en de privacytoezichthouder aan deze verplichting geven te ruim. Gevolg hiervan is dat vrijwel alle bedrijven – ongeacht het aantal werknemers – een verwerkingsregister moeten bijhouden, alleen omdat ze over een personeels-/salarisadministratie of CRM-systeem met contactgegevens van klanten beschikken. Een logischer uitleg van de woorden ‘niet-incidenteel’ is dat de verwerking behoort tot de kernactiviteiten van de onderneming. Dit zou betekenen dat bijvoorbeeld een salarisadministratiekantoor (wiens core business het is om gegevens van werknemers te verwerken) wel een registerplicht heeft, maar een aannemer of een hovenier niet.  

Dit strookt ook met de oorspronkelijke tekst voor de AVG van de Europese Commissie. Deze geeft aan dat de registerverplichting niet geldt voor: “an enterprise or an organisation employing fewer than 250 persons that is processing personal data only as an activity ancillary to its main activities”. Pas in de allerlaatste versie van de AVG zijn de woorden ‘niet incidenteel’ opgedoken. Gelet op de wetsgeschiedenis en de overwegingen van de AVG zijn deze woorden niet bedoeld om kleine en middelgrote bedrijven die naast hun hoofdactiviteiten persoonsgegevens verwerken die geen hoog privacyrisico vormen opeens met extra administratieverplichtingen op te zadelen. Niet voor niets zijn reguliere gegevensverwerkingen zoals een personeelsadministratie en een klantenadministratie onder de huidige wet bescherming persoonsgegevens vrijgesteld van de verplichting om deze te melden bij de toezichthouder.

Wat nu?

Het zou wenselijk zijn als er tijdens de behandeling van het huidige wetsvoorstel voor de UAVG nog aandacht wordt besteed aan dit onderwerp en men terugkomt van de huidige interpretatie die in de Memorie van Toelichting bij de UAVG te vinden is. Op Europees niveau hebben de privacytoezichthouders (verenigd in de zogeheten Artikel 29 Werkgroep) aangekondigd dat zij richtlijnen zullen publiceren die moeten helpen om te bepalen wanneer kleine en middelgrote ondernemingen toch een verwerkingsregister moeten bijhouden. Hopelijk zullen deze richtlijnen een interpretatie bieden die wel rekening houdt met de belangen van deze ondernemingen. Tot die tijd zouden mkb’ers in Nederland er veiligheidshalve toch maar vanuit moeten gaan dat vanaf 25 mei 2018 een verwerkingsregister onderdeel dient te zijn van hun administratie.

Heeft u vragen over de AVG of andere privacygerelateerde onderwerpen, neem dan vooral contact op met Alexandra van Beelen.

Lees hier deel 2 in deze blogserie: “Toestemming niet altijd nodig”.
Bericht delen op linkedin

Meer weten? Neem contact op met een van onze specialisten.

Gerelateerde nieuwsberichten

Al het nieuws

Blijf op de hoogte met onze nieuwsbrief

Mis niets meer en meld u aan voor onze nieuwsbrief.

Velden met een * zijn verplicht

Ik geef toestemming dat TRIP Advocaten Notarissen mijn e-mailadres gebruikt voor het toesturen van de nieuwsbrief. U kunt meer lezen in ons Privacy en cookiesbeleid.

Terug naar blogs
Contact image

Contact

Als grootste juridische adviespraktijk van Noord-Nederland staan wij centraal bij onze cliënten Wij werken in de provincies Groningen, Friesland en Drenthe (en ver daarbuiten) vanuit onze kantoren in Groningen, Leeuwarden en Assen.

Lees meer