Register van Gegevensverwerking

Wanneer moet een gegevensverwerking worden gemeld?

Op 6 november 2017 is het bericht naar buiten gekomen dat in het vervolg geen melding meer gedaan hoeft te worden aan de Autoriteit Persoonsgegevens (AP) voor verwerkingen van persoonsgegevens. Met de komst van de Algemene Verordening Gegevensbescherming (AVG) is deze meldplicht sinds 25 mei 2018 komen te vervallen. De AP heeft bovendien aangegeven dat zij vanaf nu deze meldplicht niet meer zal handhaven. Dit is mede omdat de GDPR-AVG bij grootschalige en/of verwerking van risicovolle gegevens een verwerkingsregister vereist en daarmee een belangrijke verantwoordelijkheid bij de organisaties zelf komt te liggen. Bij risicovolle verwerking en incidenten blijft melding wél verplicht.

Verlichting administratieve lasten

De versoepeling in de wetgeving brengt met zich mee dat organisaties niet meer in alle gevallen gehouden zijn om een melding te maken aan de AP. Deze constante stroom aan meldingen droeg namelijk niet per definitie bij aan een betere bescherming van persoonsgegevens. Dit levert zowel een administratieve als financiële lastenverlichting op voor organisaties, maar ook voor de AP zelf. Weliswaar brengt de AVG/GDPR op andere fronten wel weer verwaring van inspanning en kosten met zich mee. Het bleef voor organisaties tot 25 mei 2018, wanneer de nieuwe AVG definitief van toepassing werd, mogelijk om melding aan de AP te doen van een gegevensverwerking.

 

Verplichte melding bij risicovolle verwerking

Wanneer een verwerking gepaard zal gaan met een verhoogd risico voor de rechten en vrijheden van natuurlijke personen, zal de organisatie verplicht blijven om een melding te maken bij de AP. Van een verhoogd risico kan sprake zijn wanneer een aanzienlijke hoeveelheid personen nadelige gevolgen kan ondervinden of wanneer het gaat om gegevens van gevoelige aard. Hierbij kan worden gedacht aan een gemeente die de persoonsgegevens van haar inwoners zal gaan gebruiken in een nieuw administratiesysteem. Na de melding zal de AP vervolgens zelf een onderzoek opstarten en kijken of deze voldoet aan de eisen van de Wet bescherming persoonsgegevens (Wbp). Pas na goedkeuring van de AP mag de verwerking vervolgens worden uitgevoerd.

 

Sinds mei 2018 zijn organisaties voortaan zelf verplicht om een Data Protection Impact Assessment (DPIA) (ook wel Privacy Impact Assessment genoemd) te laten uitvoeren. Hierbij zal dan moeten worden geëvalueerd wat de oorsprong, aard, het specifieke karakter en de ernst van de risico’s zijn. Aan de hand van de resultaten zullen vervolgens maatregelen moeten worden genomen om een juiste verwerking van de persoonsgegevens te kunnen garanderen. Mogelijke maatregelen kunnen zijn dat er door de organisatie minder gegevens opgevraagd mogen worden of dat de organisatie de kwaliteit van zijn beveiligingssoftware zal moeten verbeteren.

 

Wanneer een DPIA uitwijst dat een verwerking gepaard gaat met mogelijk grote risico’s die redelijkerwijs niet kunnen worden beperkt door de organisatie, moet vóór de specifieke verwerking contact op worden genomen met de AP. Dit zou bijvoorbeeld kunnen voorkomen wanneer het voor een organisatie financieel niet haalbaar is om aan de veiligheidsvereisten van de verwerking van persoonsgegevens te voldoen.

 

Bijhouden register   

De AVG legt nu meer verantwoordelijkheid bij de organisatie zelf door de DPIA in risicovolle gevallen te verplichten. Dit dwingt de organisatie tot het nemen van meer initiatief op het gebied van privacybescherming. Om dit op termijn te kunnen controleren, moet er door organisaties een register worden bijgehouden van verwerkingsactiviteiten die hebben plaatsgevonden. Dit register zal vervolgens desgevraagd overhandigd moeten kunnen worden aan de AP.

 

In het register moeten alle verwerkingsactiviteiten worden opgenomen die onder de verantwoordelijkheid van de organisatie plaatsvinden. Hieronder vallen dus ook verwerkingen die namens een andere organisatie worden uitgevoerd. In de registers zal onder meer moeten worden opgenomen met wie de persoonsgegevens zullen worden gedeeld, eventuele beveiligingsmaatregelen en de termijnen waarbinnen de persoonsgegevens bewaard mogen worden.

Register
READY Privacyblox:
documenten en register in één.
(ook incidentenregister)
Een DPO nodig?
Wij helpen je bij het zoeken of opleiden van een DPO / FG
  • LinkedIn Link
  • Twitter Link

READYGDPR is een site van de  Ready Support Group 

Ready Support Group B.V.  |  KvK 71035095

Oude Enghweg 2

1217 JC  Hilversum

+31 35 713 09 70

 
BTW NL8585.54.707.B01  |  IBAN NL44BUNQ2206070952

copyrights 2019 Ready Support Group

Let op: dit formulier dient niet voor inschrijvingen in onze webinars. Die kunt u alleen hier boeken.