Deze website maakt gebruik van cookies. Klik hier voor meer informatie.

Op 25 mei 2018 treedt de nieuwe Europese privacywet in werking, de AVG. Deze wet roept nog veel vragen op bij organisaties. In deze blogserie gaan we in op enkele onderwerpen die we in de praktijk vaak voorbij zien komen. In deze eerste blog staat het verwerkingsregister centraal. 

Minder dan 250 werknemers: toch een verwerkingsregister bijhouden?

De AVG is helaas niet overal even duidelijk. Sommige artikelen bieden ruimte voor verschillende interpretaties. Een daarvan betreft de verplichting tot het opstellen en bijhouden van een register van verwerkingsactiviteiten (“verwerkingsregister”). Hierin moet onder meer worden beschreven welke soorten persoonsgegevens een organisatie verwerkt en voor welke doeleinden, met welke derden deze gegevens worden gedeeld, hoe lang deze bewaard worden en welke beveiligingsmaatregelen er worden toegepast.

Uitzondering voor kleine en middelgrote ondernemingen

De registerverplichting geldt niet voor organisaties die minder dan 250 werknemers in dienst hebben.

De Europese wetgever heeft hiermee bewust een uitzondering gecreëerd voor kleine en middelgrote ondernemingen om ervoor te zorgen dat de administratielast voor deze bedrijven niet te zwaar wordt. In de inleidende tekst van de AVG staat daarover het volgende: “Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat deze verordening een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van registers betreft.”

Om het niet al te gemakkelijk te maken zijn op deze uitzondering echter ook weer drie uitzonderingen van toepassing.

Niet incidenteel

Organisaties met minder dan 250 werknemers moeten toch een verwerkingsregister bijhouden indien:

  1. het waarschijnlijk is dat de verwerking een risico inhoudt voor de privacy van de betrokkene;
  2. de verwerking niet incidenteel is, of;
  3. de verwerking bijzondere of strafrechtelijke persoonsgegevens betreft.

De eerste en de derde voorwaarde zijn in de meeste gevallen duidelijk. Als je (structureel) gevoelige gegevens verwerkt zoals medische gegevens of strafrechtelijke gegevens, dan moet je een verwerkingsregister bijhouden.

Het is de tweede uitzondering die problemen oplevert. Want wanneer is nu een verwerking ‘niet incidenteel’? Als je deze term letterlijk uitlegt is vrijwel elke verwerking van persoonsgegevens niet incidenteel. Elke mkb-onderneming met een personeelsadministratie of een klantenbestand verwerkt met enige regelmaat persoonsgegevens, al is het maar het opmaken van een maandelijkse salarisstrook. Het kan toch niet de bedoeling zijn dat ook dan al een verwerkingsregister moet worden bijgehouden. Immers, dat leidt ertoe dat de hele uitzondering voor bedrijven met minder dan 250 werknemers zinloos is, omdat deze dan (vrijwel) nooit van toepassing zal zijn.

Nederland legt (te) ruim uit

Helaas, dat is nu juist wel de interpretatie die de Nederlandse wetgever – in de Memorie van Toelichting bij de Uitvoeringswet AVG (‘UAVG’) – en de Autoriteit Persoonsgegevens (‘AP’) – op haar website – aan de woorden ‘niet incidenteel’ geven. De door de overheid uitgegeven Handleiding AVG vermeldt het volgende: “Bij niet-incidentele verwerking kunt u denken aan elke verwerking met een zekere bestendigheid. Denk hierbij bijvoorbeeld aan het bijhouden van een klantendatabase of een personeelsadministratie. Aangezien veruit de meeste verwerkingen niet-incidenteel zijn, zal in de praktijk slechts in een beperkt aantal gevallen een beroep op deze uitzondering kunnen worden gedaan.”

Mijns inziens is de interpretatie die de Nederlandse wetgever en de privacytoezichthouder aan deze verplichting geven te ruim. Gevolg hiervan is dat vrijwel alle bedrijven – ongeacht het aantal werknemers – een verwerkingsregister moeten bijhouden, alleen omdat ze over een personeels-/salarisadministratie of CRM-systeem met contactgegevens van klanten beschikken. Een logischer uitleg van de woorden ‘niet-incidenteel’ is dat de verwerking behoort tot de kernactiviteiten van de onderneming. Dit zou betekenen dat bijvoorbeeld een salarisadministratiekantoor (wiens core business het is om gegevens van werknemers te verwerken) wel een registerplicht heeft, maar een aannemer of een hovenier niet.  

Dit strookt ook met de oorspronkelijke tekst voor de AVG van de Europese Commissie. Deze geeft aan dat de registerverplichting niet geldt voor: “an enterprise or an organisation employing fewer than 250 persons that is processing personal data only as an activity ancillary to its main activities”. Pas in de allerlaatste versie van de AVG zijn de woorden ‘niet incidenteel’ opgedoken. Gelet op de wetsgeschiedenis en de overwegingen van de AVG zijn deze woorden niet bedoeld om kleine en middelgrote bedrijven die naast hun hoofdactiviteiten persoonsgegevens verwerken die geen hoog privacyrisico vormen opeens met extra administratieverplichtingen op te zadelen. Niet voor niets zijn reguliere gegevensverwerkingen zoals een personeelsadministratie en een klantenadministratie onder de huidige wet bescherming persoonsgegevens vrijgesteld van de verplichting om deze te melden bij de toezichthouder.

Wat nu?

Het zou wenselijk zijn als er tijdens de behandeling van het huidige wetsvoorstel voor de UAVG nog aandacht wordt besteed aan dit onderwerp en men terugkomt van de huidige interpretatie die in de Memorie van Toelichting bij de UAVG te vinden is. Op Europees niveau hebben de privacytoezichthouders (verenigd in de zogeheten Artikel 29 Werkgroep) aangekondigd dat zij richtlijnen zullen publiceren die moeten helpen om te bepalen wanneer kleine en middelgrote ondernemingen toch een verwerkingsregister moeten bijhouden. Hopelijk zullen deze richtlijnen een interpretatie bieden die wel rekening houdt met de belangen van deze ondernemingen. Tot die tijd zouden mkb’ers in Nederland er veiligheidshalve toch maar vanuit moeten gaan dat vanaf 25 mei 2018 een verwerkingsregister onderdeel dient te zijn van hun administratie.

Heeft u vragen over de AVG of andere privacygerelateerde onderwerpen, neem dan vooral contact op met Alexandra van Beelen.

Lees hier deel 2 in deze blogserie: “Toestemming niet altijd nodig”.
ONZE MENSEN VAN A TOT Z//
  • Incasso debiteuren, regel het goed! NAAR NIEUWS//
  • Automatisch gezag bij erkenning?
  • Restschuld na crisis; kan ik mijn bank daarvoor verantwoordelijk houden?
  • Geen huwelijkse voorwaarden? Toch blijft privé, wat privé was.
  • Ontslag nemen, lagere alimentatie?
  • Belangrijke termijn voor werknemers bij ontslag op staande voet
  • Dienstverband laten ‘slapen’ om geen transitievergoeding te hoeven betalen, is toegestaan
  • Twaalf jaar partneralimentatie?
  • Van twee naar vier ouders?
  • Overlast door huurders: wat vindt het Gerechtshof daarvan?
  • De failliete huurder: leegstandschade en de bankgarantie
  • Wetsvoorstel UBO-register omvat nieuwe ‘terugmeldingsplicht’ Wwft-instellingen
  • Is uw gedragsverklaring aanbesteden nog geldig?
  • Een werknemer met twee dienstverbanden? Houd rekening met de Arbeidstijdenwet!
  • Strafvervolging voor bestuurder van beboete rechtspersoon
  • Nieuw ROZ-model huurovereenkomst voor woonruimte
  • Het adviesrecht van de ondernemingsraad in geval van faillissement
  • Transitievergoeding ook verschuldigd bij dienstverband van exact 24 maanden
  • Onteigening Hedwigepolder: gaat de Hoge Raad om?
  • Koop breekt geen huur (maar soms wel in stukjes)
  • UAV-GC 2005: (gevolgen van) onvoorziene omstandigheden?
  • Parfums voor € 30,-. Moet Bol.com leveren?
  • Provincie Fryslân kan door met inpassingsplan
  • Valse reviews op internet: niet zonder consequenties
  • Transitievergoeding bij langdurig arbeidsongeschiktheid: geld terug?
  • Onteigening Hedwigepolder: Hoge Raad bevestigt rechtbankvonnis
  • Natrekking versus wegbreekrecht; voor wie gaat de zon op?
  • Nederlands huurstelsel niet in strijd met het eigendomsrecht
  • Belangrijk arrest HvJ EU over toepassing van de Dienstenrichtlijn bij bestemmingsplanregels over detailhandel
  • Goodwill valt niet onder tegemoetkoming in verhuis- en inrichtingskosten bij dringend eigen gebruik
  • De statutair directeur (deel 1) – Benoeming en indiensttreding
  • Overheid wil het aantal vechtscheidingen terugdringen
  • De statutair directeur (deel 2) – Ontslag: geen ontslagbescherming, maar niet vogelvrij
  • Verborgen camera’s: diefstal op de werkvloer NAAR NIEUWS//
  • De meest gestelde vragen over de AVG: deel 1 – Minder dan 250 werknemers: toch een verwerkingsregister bijhouden? NAAR NIEUWS//
  • De meest gestelde vragen over de AVG: deel 2 – Toestemming niet altijd nodig NAAR NIEUWS//
  • Bankbreuk; wat is dat eigenlijk? NAAR NIEUWS//
  • Wetsvoorstel Wet arbeidsmarkt in balans: wat verandert er? Wetsvoorstel Wet arbeidsmarkt in balans: wat verandert er?
  • Trip Advocaten & Notarissen trekt opnieuw ervaren juristen aan
  • Een brancheringsregeling in een bestemmingsplan: Mag dat?
  • Heeft u al een privacystatement voor uw werknemers?
  • Kwijtschelden van studiekosten kost u mogelijk meer dan u denkt
CONTACT Alexandra van Beelen
Stel Hier Uw Vraag contactformulier//
NIEUWS