Autoriteit Persoonsgegevens start onderzoek naar verwerkingsregisters

De Autoriteit Persoonsgegevens (AP) heeft gisteren bekend gemaakt dat gestart wordt met een onderzoek in de private sector. In tien verschillende branches wordt van dertig verschillende organisaties gevraagd om het verwerkingsregister te tonen.

Het aanhouden van een verwerkingsregister ziet de AP als een belangrijke stap richting naleving van de AVG. In het verwerkingsregister dient onder andere te worden beschreven welke persoonsgegevens worden verwerkt, op welke wijze, wie daartoe toegang hebben en hoe de persoonsgegevens zijn beveiligd.

In veel gevallen is het voor organisaties overigens verplicht om een verwerkingsregister bij te houden. De tekst van de AVG is wat misleidend op dit punt. Het lijkt namelijk alsof deze verplichting enkel geldt voor organisaties met meer dan 250 medewerkers. Veel organisaties met minder dan 250 werknemers moeten echter ook voldoen aan de registerplicht, aangezien het verwerkingsregister ook verplicht is in de volgende gevallen:

  • Structurele verwerking van persoonsgegevens. Daarvan is al sprake indien personeelsdossiers worden bijgehouden, er sprake is van een klantendatabase of er bijvoorbeeld cameratoezicht wordt toegepast.
  • De verwerking van persoonsgegevens houdt een hoog privacyrisico in. Denk bijvoorbeeld aan de verwerking van financiële gegevens op grote schaal.
  • Er worden bijzondere persoonsgegevens verwerkt, zoals gezondheidsgegevens, biometrische gegevens of gegevens over afkomst of godsdienst.

Kortom, het verwerkingsregister geldt voor verreweg de meeste organisaties, zowel in de publieke sector als voor commerciële ondernemingen.

Heeft u vragen over het bijhouden van een verwerkingsregister? De gespecialiseerde advocaten van team Privacy helpen u graag verder!

Leave a Reply