4 mei 2018

Duidelijkheid voor MKB: iedereen een register

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), EUROPA, PRIVACY, VERTROUWEN

Al eerder besteedden wij (onder meer hier en hier) aandacht aan de registerplicht voor bedrijven met minder dan 250 werknemers. Tot nu toe was onduidelijk of bedrijven met minder dan 250 werknemers die geen spannende verwerkingen doen wél of niet een register van verwerkingen moeten bijhouden. Die knoop is nu doorgehakt door de Europese autoriteiten persoonsgegevens in een verklaring van de WP 29.

Kort gezegd moeten alle bedrijven een register hebben voor de verwerkingen die zij doen ongeacht hoe groot zij zijn. Dus ook voor de regelmatige verwerkingen van je HR-gegevens en CRM-gegevens. De uitzondering geldt vervolgens alleen voor bepaalde verwerkingen. Die hoef je als mkb-bedrijf niet te noteren in je register. De verwerkingen die je niet hoeft te registreren zijn: incidentele verwerkingen die geen noemenswaardige gevolgen hebben voor privacy van betrokkenen en waarbij geen bijzondere gegevens worden gebruikt.

Nederland ICT heeft zich in nationaal en Europees verband hard gemaakt voor een brede uitzondering voor de registerplicht voor het mkb. We blijven van mening dat het oordeel van de WP29 tot onnodige administratieve lasten van honderden miljoenen leidt.

Meer informatie

Voor meer informatie over wat de registerplicht inhoudt en wat er zoal in dat register moet staan, zie ons artikel over accountability.

Voorbeelden van een register voor zowel verwerkers als verantwoordelijken (check hier welke rol je hebt) vind je op mijn.nederlandict.nl (voor leden) of in onze toolkit.