De meest gestelde vragen over de AVG: deel 1 – Minder dan 250 werknemers: toch een verwerkingsregister bijhouden?

Op 25 mei 2018 treedt de nieuwe Europese privacywet in werking, de AVG. Deze wet roept nog veel vragen op bij organisaties. In deze blogserie gaan we in op enkele onderwerpen die we in de praktijk vaak voorbij zien komen. In deze eerste blog staat het verwerkingsregister centraal.
Minder dan 250 werknemers: toch een verwerkingsregister bijhouden?
De AVG is helaas niet overal even duidelijk. Sommige artikelen bieden ruimte voor verschillende interpretaties. Een daarvan betreft de verplichting tot het opstellen en bijhouden van een register van verwerkingsactiviteiten (“verwerkingsregister”). Hierin moet onder meer worden beschreven welke soorten persoonsgegevens een organisatie verwerkt en voor welke doeleinden, met welke derden deze gegevens worden gedeeld, hoe lang deze bewaard worden en welke beveiligingsmaatregelen er worden toegepast.
Uitzondering voor kleine en middelgrote ondernemingen
De registerverplichting geldt niet voor organisaties die minder dan 250 werknemers in dienst hebben.
De Europese wetgever heeft hiermee bewust een uitzondering gecreëerd voor kleine en middelgrote ondernemingen om ervoor te zorgen dat de administratielast voor deze bedrijven niet te zwaar wordt. In de inleidende tekst van de AVG staat daarover het volgende: “Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat deze verordening een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van registers betreft.”
Om het niet al te gemakkelijk te maken zijn op deze uitzondering echter ook weer drie uitzonderingen van toepassing.
Niet incidenteel
Organisaties met minder dan 250 werknemers moeten toch een verwerkingsregister bijhouden indien:
- het waarschijnlijk is dat de verwerking een risico inhoudt voor de privacy van de betrokkene;
- de verwerking niet incidenteel is, of;
- de verwerking bijzondere of strafrechtelijke persoonsgegevens betreft.
De eerste en de derde voorwaarde zijn in de meeste gevallen duidelijk. Als je (structureel) gevoelige gegevens verwerkt zoals medische gegevens of strafrechtelijke gegevens, dan moet je een verwerkingsregister bijhouden.
Het is de tweede uitzondering die problemen oplevert. Want wanneer is nu een verwerking ‘niet incidenteel’? Als je deze term letterlijk uitlegt is vrijwel elke verwerking van persoonsgegevens niet incidenteel. Elke mkb-onderneming met een personeelsadministratie of een klantenbestand verwerkt met enige regelmaat persoonsgegevens, al is het maar het opmaken van een maandelijkse salarisstrook. Het kan toch niet de bedoeling zijn dat ook dan al een verwerkingsregister moet worden bijgehouden. Immers, dat leidt ertoe dat de hele uitzondering voor bedrijven met minder dan 250 werknemers zinloos is, omdat deze dan (vrijwel) nooit van toepassing zal zijn.
Nederland legt (te) ruim uit
Helaas, dat is nu juist wel de interpretatie die de Nederlandse wetgever – in de Memorie van Toelichting bij de Uitvoeringswet AVG (‘UAVG’) – en de Autoriteit Persoonsgegevens (‘AP’) – op haar website – aan de woorden ‘niet incidenteel’ geven. De door de overheid uitgegeven Handleiding AVG vermeldt het volgende: “Bij niet-incidentele verwerking kunt u denken aan elke verwerking met een zekere bestendigheid. Denk hierbij bijvoorbeeld aan het bijhouden van een klantendatabase of een personeelsadministratie. Aangezien veruit de meeste verwerkingen niet-incidenteel zijn, zal in de praktijk slechts in een beperkt aantal gevallen een beroep op deze uitzondering kunnen worden gedaan.”
Mijns inziens is de interpretatie die de Nederlandse wetgever en de privacytoezichthouder aan deze verplichting geven te ruim. Gevolg hiervan is dat vrijwel alle bedrijven – ongeacht het aantal werknemers – een verwerkingsregister moeten bijhouden, alleen omdat ze over een personeels-/salarisadministratie of CRM-systeem met contactgegevens van klanten beschikken. Een logischer uitleg van de woorden ‘niet-incidenteel’ is dat de verwerking behoort tot de kernactiviteiten van de onderneming. Dit zou betekenen dat bijvoorbeeld een salarisadministratiekantoor (wiens core business het is om gegevens van werknemers te verwerken) wel een registerplicht heeft, maar een aannemer of een hovenier niet.
Dit strookt ook met de oorspronkelijke tekst voor de AVG van de Europese Commissie. Deze geeft aan dat de registerverplichting niet geldt voor: “an enterprise or an organisation employing fewer than 250 persons that is processing personal data only as an activity ancillary to its main activities”. Pas in de allerlaatste versie van de AVG zijn de woorden ‘niet incidenteel’ opgedoken. Gelet op de wetsgeschiedenis en de overwegingen van de AVG zijn deze woorden niet bedoeld om kleine en middelgrote bedrijven die naast hun hoofdactiviteiten persoonsgegevens verwerken die geen hoog privacyrisico vormen opeens met extra administratieverplichtingen op te zadelen. Niet voor niets zijn reguliere gegevensverwerkingen zoals een personeelsadministratie en een klantenadministratie onder de huidige wet bescherming persoonsgegevens vrijgesteld van de verplichting om deze te melden bij de toezichthouder.
Wat nu?
Het zou wenselijk zijn als er tijdens de behandeling van het huidige wetsvoorstel voor de UAVG nog aandacht wordt besteed aan dit onderwerp en men terugkomt van de huidige interpretatie die in de Memorie van Toelichting bij de UAVG te vinden is. Op Europees niveau hebben de privacytoezichthouders (verenigd in de zogeheten Artikel 29 Werkgroep) aangekondigd dat zij richtlijnen zullen publiceren die moeten helpen om te bepalen wanneer kleine en middelgrote ondernemingen toch een verwerkingsregister moeten bijhouden. Hopelijk zullen deze richtlijnen een interpretatie bieden die wel rekening houdt met de belangen van deze ondernemingen. Tot die tijd zouden mkb’ers in Nederland er veiligheidshalve toch maar vanuit moeten gaan dat vanaf 25 mei 2018 een verwerkingsregister onderdeel dient te zijn van hun administratie.
Heeft u vragen over de AVG of andere privacygerelateerde onderwerpen, neem dan vooral contact op met Alexandra van Beelen.
- Artikel 41a Onteigeningswet is niet van toepassing op het pachtrecht
- Wetsvoorstel Wet arbeidsmarkt in balans: wat verandert er?
- Bankbreuk; wat is dat eigenlijk?
- De meest gestelde vragen over de AVG: deel 2 – Toestemming niet altijd nodig
- Trip Advocaten & Notarissen business partner INRetail
- Verborgen camera’s: diefstal op de werkvloer
- De meest gestelde vragen over de AVG: deel 1 – Minder dan 250 werknemers: toch een verwerkingsregister bijhouden?
- De statutair directeur (deel 2) – Ontslag: geen ontslagbescherming, maar niet vogelvrij
- Overheid wil het aantal vechtscheidingen terugdringen
- De statutair directeur (deel 1) – Benoeming en indiensttreding
- Goodwill valt niet onder tegemoetkoming in verhuis- en inrichtingskosten bij dringend eigen gebruik
- Belangrijk arrest HvJ EU over toepassing van de Dienstenrichtlijn bij bestemmingsplanregels over detailhandel
- Nederlands huurstelsel niet in strijd met het eigendomsrecht
- Natrekking versus wegbreekrecht; voor wie gaat de zon op?
- Drie nieuwe vennoten voor Trip Advocaten & Notarissen
- Transitievergoeding bij langdurig arbeidsongeschiktheid: geld terug?
- Onteigening Hedwigepolder: Hoge Raad bevestigt rechtbankvonnis
- Ruim 2.500 juryleden kiezen Trip Advocaten & Notarissen tot beste juridische dienstverlener Noord-Nederland
- Valse reviews op internet: niet zonder consequenties
- Provincie Fryslân kan door met inpassingsplan
- Parfums voor € 30,-. Moet Bol.com leveren?
- UAV-GC 2005: (gevolgen van) onvoorziene omstandigheden?
- Holdingstructuur in het onderwijs
- Regeerakkoord Rutte III: gevolgen voor het arbeidsrecht
- Koop breekt geen huur (maar soms wel in stukjes)
- Onteigening Hedwigepolder: gaat de Hoge Raad om?
- Trip Advocaten & Notarissen nieuwe sponsor GHHC Groningen
- Verboden onderverhuur van woonruimte. De oneerlijke huurder en het oneerlijke beding; wat duurt het langst?
- Hoe ver kan een maatwerkvoorschrift voor geluid bij windturbines gaan? De Afdeling verduidelijkt
- Het einde van de Nederlandse pre-pack praktijk nabij?
- Transitievergoeding ook verschuldigd bij dienstverband van exact 24 maanden
- Het adviesrecht van de ondernemingsraad in geval van faillissement
- Minder dan 50 werknemers en toch adviesrecht OR?
- Invorderingsbeschikking dwangsommen: nieuwe koers Afdeling over bewijslast
- Nieuw ROZ-model huurovereenkomst voor woonruimte
- Strafvervolging voor bestuurder van beboete rechtspersoon
- Een werknemer met twee dienstverbanden? Houd rekening met de Arbeidstijdenwet!
- Is uw gedragsverklaring aanbesteden nog geldig?
- Wetsvoorstel UBO-register omvat nieuwe ‘terugmeldingsplicht’ Wwft-instellingen
- De failliete huurder: leegstandschade en de bankgarantie
- Overlast door huurders: wat vindt het Gerechtshof daarvan?
- Van twee naar vier ouders?
- Twaalf jaar partneralimentatie?
- Cameratoezicht: veiligheid versus privacy
- Dienstverband laten ‘slapen’ om geen transitievergoeding te hoeven betalen, is toegestaan
- Belangrijke termijn voor werknemers bij ontslag op staande voet
- Ontslag nemen, lagere alimentatie?
- Geen huwelijkse voorwaarden? Toch blijft privé, wat privé was.
- Restschuld na crisis; kan ik mijn bank daarvoor verantwoordelijk houden?
- Automatisch gezag bij erkenning?
- Is uw organisatie klaar voor de invoering van de Wet Huis voor Klokkenluiders?
- Trip begeleidt Sacha bij overname Manfield
- Trip begeleidt Ziengs bij overname Scapino
- één maand korter om uw jaarrekening vast te stellen en te publiceren
- Nieuwe regeling aanwijzing DGA per 1 januari 2016
- Is uw organisatie ‘privacyproof?’
- 4e plaats in MT100
- Geen bemiddelingskosten meer voor particuliere huurder
- Incompany 100: Hoogste score voor Trip in categorie knowhow
- Aanzeggen! Hoe zit dat nu ook al weer?
- Centraal aandeelhoudersregister, is dan niets meer privé?
- Incasso debiteuren, regel het goed!
- De WWZ: ingrijpende wijzigingen
- Erfpacht in nieuw jasje
- Rijbewijs kwijt? Klagen loont
- Geld lenen gunstiger dan schenken
- Wie krijgt de regie?
- Wet Werk en Zekerheid aangenomen
- Bijzondere ketensamenwerking
- Bedrijfsopvolgingsregeling
- Gevolgen AWBZ
- Schenkingsrecht
- Vrije advocaatkeuze
- Incompany
- Schenkingsvrijstelling
- Trip wordt vriend van Jarige Job