MKB bedrijven en de AVG documentatieplicht
Veel MKB bedrijven krijgen binnen de AVG te maken met een documentatieplicht
AVG
Dat de nieuwe Europese privacywet geldt voor alle organisaties die persoonsgegevens verwerken, dus ook voor de kleinere organisaties, mag inmiddels wel bekend zijn. Maar is het voor kleinere organisaties zoals MKB-bedrijven nu ook een vereiste om een register te voeren van verwerkingsactiviteiten? Een veel gehoorde opvatting is dat dit voor deze groep van bedrijven niet geldt omdat deze veelal minder dan 250 personen in dienst hebben.
Documentatieplicht
In de Algemene verordening gegevensbescherming (AVG) zijn een aantal verplichte maatregelen opgenomen waarmee je aan de verantwoordingsplicht, ook wel accountability genoemd, kunt voldoen. Een van die verplichtingen is het voeren van een register van je verwerkingsactiviteiten. In feite gaat het hier om een documentatieplicht. Of je een dergelijk register moet voeren, hangt af van de omvang van je organisatie en het type gegevens dat je verwerkt. Deze documentatieplicht vervangt de verplichting om gegevensverwerkingen vooraf te melden aan de Autoriteit Persoonsgegevens, zoals nu in de Wet bescherming persoonsgegevens (Wbp) van toepassing is.
Dienen kleinere organisaties zoals MKB een register van de verwerkingsactiviteiten bij te houden?
Algemeen geldt dat zowel de verwerkingsverantwoordelijke als de verwerker een register van de verwerkingsactiviteiten moeten bijhouden. Geldt dit nu ook voor kleinere organisaties? Er zijn uitzonderingen die ogenschijnlijk voor heel wat ondernemingen gelden. In beginsel is deze verplichting, op grond van art. 30 lid 5 AVG, niet van toepassing op ondernemingen en organisaties die minder dan 250 personen in dienst hebben. Mooi zou je zeggen, er zijn echter uitzonderingen.
Ondernemingen of organisaties met minder dan 250 personen in dienst zijn wel aan deze documentatieverplichting onderworpen in de volgende gevallen:
- Wanneer de verwerking een risico vormt voor de rechten en vrijheden van de betrokkenen.
- Wanneer de verwerking bijzondere categorieën van gegevens bevat: persoonsgegevens zoals met betrekking tot ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond blijkt, of genetische, biometrische gegevens of gegevens over de gezondheid, iemands seksueel gedrag of seksuele gerichtheid. Dit op grond van art. 9 AVG.
- Wanneer de verwerking gerechtelijke gegevens bevat: persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen, dit zoals bedoeld in art. 10 AVG.
- Wanneer de verwerking die zij verrichten niet incidenteel is. Hier gaat het om bijvoorbeeld verwerkingen die betrekking hebben op klantenbeheer, personeelsbeheer, etc.
Dit laatste punt is voor kleinere organisaties iets om extra bij stil te staan. Vanwege het feit dat de meeste kleinere organisaties persoonsgegevens op structurele basis verwerken, geldt dat bijna alle organisaties aan deze documentatieverplichting zullen moeten voldoen.
Wat moet er in het register zijn opgenomen?
In het register moet, op grond van art. 30 AVG, onder andere het volgende worden opgenomen:
- De contactgegevens van de verwerkingsverantwoordelijke (of zijn vertegenwoordiger) en eventueel ook de functionaris voor de gegevensbescherming.
- De verwerkingsdoeleinden.
- Een beschrijving van de categorieën van betrokkenen en van de persoonsgegevens.
- De categorieën van partijen aan wie de gegevens zullen worden verstrekt.
- Indien gegevens aan derde landen worden verstrekt: vermelding van het derde land en waar nodig documentatie omtrent de genomen passende waarborgen voor de bescherming van persoonsgegevens in dit derde land.
- De beoogde bewaartermijnen.
- Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
Zoals gezegd dient ook de verwerker dit register te voeren. De verwerker hoeft echter iets minder vast te leggen dan de verwerkingsverantwoordelijke: de doeleinden, de categorieën van ontvangers en de beoogde bewaartermijnen van de verwerking hoeft niet door de verwerker te worden geregistreerd.
Ook kleinere bedrijven moeten actie ondernemen
Ook kleinere organisaties waaronder MKB-bedrijven zullen er in veel gevallen niet aan ontkomen om een verwerkingsregister te gaan voeren. Ook dient er aandacht te zijn voor onder meer het sluiten van bewerkersovereenkomsten, het informeren van klanten over hoe er met hun persoonsgegevens wordt omgaan, het adequaat beveiligen van persoonsgegevens en het melden van datalekken. Zorg ervoor dat je op 25 mei 2018 compliant bent.