Waarmee kunnen wij u helpen?

    Artikel

    Autoriteit Persoonsgegevens start onderzoek naar naleving privacyregels door private sector

    De Autoriteit Persoonsgegevens gaat steekproefsgewijs een onderzoek doen naar de naleving van de privacyregels door private organisaties. Aanleiding is de komst van de Algemene Verordening Gegevensbescherming (AVG). Een van de belangrijkste nieuwe verplichtingen uit de AVG is dat organisaties een verwerkingsregister moeten bijhouden. Volgens de Autoriteit Persoonsgegevens is het verwerkingsregister een belangrijke graadmeter om te kijken hoe een organisatie omgaat met de privacyregels.

    Verwerkingsregister

    Na de aankondiging van de AP in mei om bij de publieke sector te kijken hoe daar de FG-verplichting wordt nageleefd, is nu ook de private sector aan de beurt. Volgens het nieuwsbericht van de AP van juli gaat de AP haar pijlen richten op de status is van het verwerkingsregister van 30 willekeurige ondernemingen verspreid over heel Nederland. Om een beeld te krijgen van de stand van zaken bij de private organisaties is gekozen voor volgende 10 sectoren: industrie en metaal, waterleidingbedrijf, bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening, zakelijke dienstverlening en zorg. In eerste instantie behelst het een verkennend onderzoek, maar het kan ook goed een opstap zijn voor vervolgonderzoek door de AP.

    Grote en kleine organisaties

    Sinds 25 mei 2018 moeten vrijwel alle organisaties hun verwerkingsactiviteiten vastleggen in een register. Dat kan variëren van de HR-administratie, klantgegevens, cameratoezicht tot de direct marketingactiviteiten. Daarvan dient onder meer te worden vastgelegd en bijgehouden welke soorten persoonsgegevens voor welke doeleinden worden verwerkt en hoe lang de gegevens worden bewaard. Slechts in uitzonderlijke situaties hoeven organisaties met minder dan 250 werknemers geen verwerkingsregister te hebben. De registratieplicht geldt zowel voor verwerkingsverantwoordelijken als voor verwerkers, waarbij op verwerkers wel een beperktere registratieplicht rust. Overigens moeten alle organisaties naast het algemene verwerkingsregister ook alle datalekken die hebben plaatsgevonden documenteren.

    Verantwoordingsplicht 

    De AVG schrijft niet voor hoe organisaties aan hun registratieplicht moeten voldaan. Vooral voor grotere organisaties is het meest praktisch om hiervoor gebruik te maken van een IT-tool, maar ook kan gekozen worden voor een register in Excel. Ongeacht welke vorm wordt toegepast, organisaties zijn verplicht om het verwerkingsregister te verstrekken als de AP hen daar om vraagt. De kwaliteit van het verwerkingsregister biedt de AP overall inzicht in de wijze waarop een organisatie omgaat met haar privacyverplichtingen. Daarmee biedt het register een middel om verantwoording af te leggen over de naleving van de toepasselijke regels.

    Afgezien van het feit dat op de niet-naleving van de registratieverplichting een forse sanctie staat, moet het belang van deze verplichting ook voor het uitvoeren van de compliance werkzaamheden zelf niet worden onderschat. Waar veel organisaties in de praktijk de neiging vertonen om de focus te leggen op hun privacy statements en verwerkersovereenkomsten, doen zij er beter aan om eerst het register onderhanden te nemen. Het register zou de basis moeten bieden voor het opstellen van alle privacy gerelateerde documenten, zodat alle documenten consistent zijn met het register en vooral ook met de daadwerkelijke verwerkingen. Een goed bijgehouden register zou zodoende vanzelf de inrichting van het privacy compliance werk een stuk eenvoudiger kunnen maken.

    Meer informatie?

    Heeft u vragen over het verwerkingsregister of uw andere privacy verplichtingen? Neem dan contact op met het Privacy Team. Contactpersonen: Elisabeth Thole, Özer Zivali en Vonne Laan.