Blog over recht en ICT

      rechtenict@juridict.nl

De documentatieplicht binnen de Algemene verordening gegevensbescherming

In mijn blog over de algemene verordening gegevensbescherming stip ik aan dat er een documentatieplicht komt binnen de Avg. In dit artikel ga ik hierop specifiek in.

Gegevensverwerking en het vrijstellingsbesluit

De Wet bescherming persoonsgegevens (Wbp) kent een meldplicht voor het verwerken van persoonsgegevens. Elke organisatie die persoonsgegevens gaat verwerken moet hiervan in beginsel melding maken aan de toezichthouder. Op deze regel zijn een aantal uitzonderingen. Van veel soorten van gegevensverwerking is het algemeen bekend dat deze plaatsvinden en is het onwaarschijnlijk dat de persoonlijke levenssfeer van de betrokkenen door die verwerking wordt geschaad. Binnen de Wbp zijn een groot aantal verwerkingen vrijgesteld van de meldplicht. Deze vrijgestelde verwerkingen zijn opgenomen in het vrijstellingsbesluit.

De meldplicht wordt vervangen door een documentatieplicht

Deze meldplicht komt met ingang van de Europese Privacy Verordening, de Algemene verordening gegevensbescherming (Avg) te vervallen. In plaats daarvan komt echter een documentatieplicht. 

Art.30 Avg bepaalt hierover: Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoor­delijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden.

Deze documentatieplicht houdt in dat iedere organisatie waarop de Algemene verordening gegevensbescherming van toepassing is, in staat wordt geacht om op elk moment de verwerkingen van persoonsgegevens te kunnen verantwoorden. De documentatieplicht heeft tot gevolg dat een organisatie een privacy-administratie moet voeren om toezichthoudende instanties van informatie omtrent de verwerkingen van persoonsgegevens te kunnen voorzien. 

De documentatieplicht is niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens (bijvoorbeeld medische of strafrechtelijke gegevens) betreft.

Wat moet er worden vastgelegd?

In artikel 30 Avg is bepaald wat er dient te worden vastgelegd. Het gaat hier onder meer om:

  • de naam en de contactgegevens van de bewerker en van iedere verantwoordelijke voor rekening waarvan de bewerker handelt en de functionaris voor gegevensbescherming

  • de categorieën van verwerkingen die voor rekening van iedere verantwoordelijke zijn uitgevoerd

  • doorgiften van persoonsgegevens aan een land buiten de EER of een internationale organisatie

  • een beschrijving van de getroffen technische en organisatorische beveiligingsmaatregelen.

En de bewerkers?

Als organisatie moet je altijd kunnen aantonen dat je op de hoogte bent van de mogelijke risico’s en wat je er als organisatie aandoet om het risico te beperken. Ook bewerkers krijgen aanmerkelijk meer verantwoordelijkheden. Zij dienen op grond van de Avg te kunnen aantonen dat de beveiliging van persoonsgegevens technisch en organisatorisch in orde is.