De meest gestelde vragen over de AVG: deel 1 – Minder dan 250 werknemers: toch een verwerkingsregister bijhouden?
Op 25 mei 2018 treedt de nieuwe Europese privacywet in werking, de AVG. Deze wet roept nog veel vragen op bij organisaties. In deze blogserie gaan we in op enkele onderwerpen die we in de praktijk vaak voorbij zien komen. In deze eerste blog staat het verwerkingsregister centraal.
Minder dan 250 werknemers: toch een verwerkingsregister bijhouden?
De AVG is helaas niet overal even duidelijk. Sommige artikelen bieden ruimte voor verschillende interpretaties. Een daarvan betreft de verplichting tot het opstellen en bijhouden van een register van verwerkingsactiviteiten (“verwerkingsregister”). Hierin moet onder meer worden beschreven welke soorten persoonsgegevens een organisatie verwerkt en voor welke doeleinden, met welke derden deze gegevens worden gedeeld, hoe lang deze bewaard worden en welke beveiligingsmaatregelen er worden toegepast.
Uitzondering voor kleine en middelgrote ondernemingen
De registerverplichting geldt niet voor organisaties die minder dan 250 werknemers in dienst hebben.
De Europese wetgever heeft hiermee bewust een uitzondering gecreëerd voor kleine en middelgrote ondernemingen om ervoor te zorgen dat de administratielast voor deze bedrijven niet te zwaar wordt. In de inleidende tekst van de AVG staat daarover het volgende: “Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat deze verordening een afwijking voor organisaties met minder dan 250 werknemers wat het bijhouden van registers betreft.”
Om het niet al te gemakkelijk te maken zijn op deze uitzondering echter ook weer drie uitzonderingen van toepassing.
Niet incidenteel
Organisaties met minder dan 250 werknemers moeten toch een verwerkingsregister bijhouden indien:
- het waarschijnlijk is dat de verwerking een risico inhoudt voor de privacy van de betrokkene;
- de verwerking niet incidenteel is, of;
- de verwerking bijzondere of strafrechtelijke persoonsgegevens betreft.
De eerste en de derde voorwaarde zijn in de meeste gevallen duidelijk. Als je (structureel) gevoelige gegevens verwerkt zoals medische gegevens of strafrechtelijke gegevens, dan moet je een verwerkingsregister bijhouden.
Het is de tweede uitzondering die problemen oplevert. Want wanneer is nu een verwerking ‘niet incidenteel’? Als je deze term letterlijk uitlegt is vrijwel elke verwerking van persoonsgegevens niet incidenteel. Elke mkb-onderneming met een personeelsadministratie of een klantenbestand verwerkt met enige regelmaat persoonsgegevens, al is het maar het opmaken van een maandelijkse salarisstrook. Het kan toch niet de bedoeling zijn dat ook dan al een verwerkingsregister moet worden bijgehouden. Immers, dat leidt ertoe dat de hele uitzondering voor bedrijven met minder dan 250 werknemers zinloos is, omdat deze dan (vrijwel) nooit van toepassing zal zijn.
Nederland legt (te) ruim uit
Helaas, dat is nu juist wel de interpretatie die de Nederlandse wetgever – in de Memorie van Toelichting bij de Uitvoeringswet AVG (‘UAVG’) – en de Autoriteit Persoonsgegevens (‘AP’) – op haar website – aan de woorden ‘niet incidenteel’ geven. De door de overheid uitgegeven Handleiding AVG vermeldt het volgende: “Bij niet-incidentele verwerking kunt u denken aan elke verwerking met een zekere bestendigheid. Denk hierbij bijvoorbeeld aan het bijhouden van een klantendatabase of een personeelsadministratie. Aangezien veruit de meeste verwerkingen niet-incidenteel zijn, zal in de praktijk slechts in een beperkt aantal gevallen een beroep op deze uitzondering kunnen worden gedaan.”
Mijns inziens is de interpretatie die de Nederlandse wetgever en de privacytoezichthouder aan deze verplichting geven te ruim. Gevolg hiervan is dat vrijwel alle bedrijven – ongeacht het aantal werknemers – een verwerkingsregister moeten bijhouden, alleen omdat ze over een personeels-/salarisadministratie of CRM-systeem met contactgegevens van klanten beschikken. Een logischer uitleg van de woorden ‘niet-incidenteel’ is dat de verwerking behoort tot de kernactiviteiten van de onderneming. Dit zou betekenen dat bijvoorbeeld een salarisadministratiekantoor (wiens core business het is om gegevens van werknemers te verwerken) wel een registerplicht heeft, maar een aannemer of een hovenier niet.
Dit strookt ook met de oorspronkelijke tekst voor de AVG van de Europese Commissie. Deze geeft aan dat de registerverplichting niet geldt voor: “an enterprise or an organisation employing fewer than 250 persons that is processing personal data only as an activity ancillary to its main activities”. Pas in de allerlaatste versie van de AVG zijn de woorden ‘niet incidenteel’ opgedoken. Gelet op de wetsgeschiedenis en de overwegingen van de AVG zijn deze woorden niet bedoeld om kleine en middelgrote bedrijven die naast hun hoofdactiviteiten persoonsgegevens verwerken die geen hoog privacyrisico vormen opeens met extra administratieverplichtingen op te zadelen. Niet voor niets zijn reguliere gegevensverwerkingen zoals een personeelsadministratie en een klantenadministratie onder de huidige wet bescherming persoonsgegevens vrijgesteld van de verplichting om deze te melden bij de toezichthouder.
Wat nu?
Het zou wenselijk zijn als er tijdens de behandeling van het huidige wetsvoorstel voor de UAVG nog aandacht wordt besteed aan dit onderwerp en men terugkomt van de huidige interpretatie die in de Memorie van Toelichting bij de UAVG te vinden is. Op Europees niveau hebben de privacytoezichthouders (verenigd in de zogeheten Artikel 29 Werkgroep) aangekondigd dat zij richtlijnen zullen publiceren die moeten helpen om te bepalen wanneer kleine en middelgrote ondernemingen toch een verwerkingsregister moeten bijhouden. Hopelijk zullen deze richtlijnen een interpretatie bieden die wel rekening houdt met de belangen van deze ondernemingen. Tot die tijd zouden mkb’ers in Nederland er veiligheidshalve toch maar vanuit moeten gaan dat vanaf 25 mei 2018 een verwerkingsregister onderdeel dient te zijn van hun administratie.
Heeft u vragen over de AVG of andere privacygerelateerde onderwerpen, neem dan vooral contact op met Alexandra van Beelen.
- Wet Compensatieregeling Transitievergoeding
- Kleurt RUMAG buiten de lijntjes?
- Voor verhuurders en huurders | Corona Q&A
- Voor ondernemingen | Corona Q & A
- Voor werkgevers | Corona Q & A
- Voor aannemers | Corona Q&A
- Voor overheden en publieke organisaties | Corona Q & A
- De impact van de Corona-maatregelen: vragen en antwoorden
- De tijdelijke maatregel Noodfonds Overbrugging Werkgelegenheid
- Hoe biedt u uw onderneming de Corona-crisis het hoofd?
- Corona-maatregelen: ons serviceniveau blijft gelijk
- Vergoeding voor opstalrechten vormt geen staatssteun
- Aan elke zaak komt een eind. Toch?
- Welkome uitspraak van de Afdeling over de toetsing van omgevingsvergunningen en de Dienstenrichtlijn
- Planologisch verbod op verkenningsonderzoek kán ruimtelijk relevant zijn
- De financiering van TenderNed vormt geen staatssteun
- Hof van Justitie staat geen algemene beperkingen toe op de inzet van onderaannemers
- De Spoedwet aanpak stikstof
- Help! Ik heb een brief ontvangen dat ik een foto “illegaal” op mijn website of social media kanaal heb gebruikt!
- Raad van State preciseert bewijslast bij evenredigheidstoets Dienstenrichtlijn – een kwalitatief onderbouwde vestigingsbeperking kan ook legitiem zijn
- Werkgever, u moet (soms) een DPIA maken!
- Belgische havens zijn ondernemingen, de vrijstelling voor vennootschapsbelasting vormt verboden staatssteun
- Alleen de Europese Commissie mag oordelen over de verenigbaarheid van steun onder de AGVV
- Planologisch verbod op verkenningsonderzoek aardgas kan ruimtelijk relevant zijn
- Let op! Voor schenkingen op papier verandert de box-3 heffing.
- RAAD VAN STATE: BOVENPLANS VEREVENEN BIJ PLANOLOGISCH VOORDEEL IS GEEN BETAALPLANOLOGIE
- HvJ EU wijst belangrijk arrest over ontheffing Wet natuurbescherming voor zwaar beschermde soorten
- WAARTOE VERPLICHT EEN GARANTIEVERKLARING BIJ EEN BEROEP OP EEN DERDE?
- Verevenen bij planologisch voordeel: veel makkelijker dan het lijkt!
- Vierde anti-witwasrichtlijn: wat zijn de gevolgen voor de ondernemer?
- Overheden niet immuun voor IE-claims
- Gemor in aanbestedingsland
- Overheidsaansprakelijkheid: inspanningsverbintenis versus resultaatsverplichting
- Presentatie PAS Provinciehuis Drenthe
- Oppervlaktevoorschriften bestemmingsplan verenigbaar met Dienstenrichtlijn
- Omgevingsrechtteam Trip trots op resultaat in de “Dienstenrichtlijnzaak“ Appingedam bij de Raad van State
- Uitnodiging tender updates
- Nieuwsbrief voor overheden
- Symposium Triple A: All About Arbeidsrecht
- Verhuurders opgelet: per 1 juli 2019 wijziging van de Warmtewet
- Invoering Wnra 1 januari 2020: enkele aandachtspunten
- Zeg me dat het goed komt…: de nieuwe Afdelingsjurisprudentie over het vertrouwensbeginsel
- Retailers en overheden opgelet! Raad van State geeft verder richting in Decathlon uitspraak.
- Niet gehoopt, wel gevreesd: Programma Aanpak Stikstof (PAS) volledig onderuit
- Nieuwe Wet Kwaliteitsborging voor het bouwen ingrijpend voor aannemers
- Governance samenwerkingsverbanden passend onderwijs: Hoe kan het beter?
- Echtgenoot die erfenis gebruikt voor huishoudelijke kosten heeft recht op vergoeding
- Opzeggen van een slapend dienstverband verplicht als (goed) werkgever?
- Symposium Triple A: All About Arbeidsrecht
- Elektronische signalering voor overheden
- Foto’s op internet en het auteursrecht van de fotograaf
- Partneralimentatie is fiscaal aftrekbaar
- Sanctierecht: waar moet ik als ondernemer op letten?
- Geheimhoudingsplicht versus openbaarheid: advocaten en de Wet openbaarheid van bestuu