De Europese Commissie kleine en middelgrote organisaties tegemoetkomen met een versoepeling van verplichtingen onder de Algemene Verordening Gegevensbescherming (AVG). Dit om economische groei te stimuleren. In een recent voorstel van de Europese Commissie wordt gesteld dat organisaties met minder dan 750 werknemers straks géén verwerkingsregister meer hoeven bij te houden. Dit betekent een verruiming van de bestaande vrijstelling in artikel 30 lid 5 AVG (die tot nu toe gold voor organisaties met minder dan 250 werknemers).
Een opluchting voor het MKB? Mogelijk. Maar het roept ook de vraag op: is het wel zo verstandig om het verwerkingsregister zomaar overboord te gooien?
Wat stelt de Europese Commissie precies voor?
Momenteel verplicht de AVG organisaties om een intern register bij te houden van alle verwerkingen van persoonsgegevens. Voor kleinere organisaties (minder dan 250 werknemers) geldt hierop een uitzondering, tenzij zij structureel gevoelige gegevens verwerken of sprake is van verwerkingen met een hoog risico.[1]
De Europese Commissie wil nu deze grens optrekken naar 750 medewerkers. Maar… Let op: deze vrijstelling geldt niet wanneer sprake is van verwerkingen met een hoog risico in de zin van artikel 35 AVG (denk aan grootschalige monitoring, profilering of verwerking van bijzondere persoonsgegevens). En juist daar wringt de schoen.
Vrijstelling? Ja, maar met kanttekening
Hoewel de maatregel klinkt als een praktische lastenverlichting, is het inschatten van zo’n “hoog risico”-verwerking in de praktijk vaak allesbehalve eenvoudig. Zeker voor kleine bedrijven zonder privacy officer of juridische ondersteuning kan het beoordelen van het risiconiveau van een verwerking een ingewikkelde opgave zijn. Ironisch genoeg vereist het maken van zo’n risico-inschatting vaak al hetzelfde overzicht van verwerkingen – ofwel: een verwerkingsregister.
Bovendien blijft onduidelijk of bij één hoog risico-verwerking de hele organisatie dan alsnog een register moet bijhouden, of alleen die specifieke verwerking. Die huidige onzekerheid maakt het risico op non-compliance juist groter.
Waarom het tóch verstandig is een verwerkingsregister bij te houden (ongeacht het aantal werknemers)
- Inzicht in je gegevensverwerking
Zonder een verwerkingsregister ontbreekt vaak het overzicht van welke gegevens worden verwerkt, met welk doel, en op welke grondslag. Dat maakt naleving van andere AVG-verplichtingen (zoals de informatieplicht of het principe van dataminimalisatie) moeilijk. - Onderbouwing van risico-inschattingen
Een goed bijgehouden register helpt bij het beoordelen of een verwerking een hoog risico oplevert, en dus of je wel of niet een DPIA (Data Protection Impact Assessment) moet uitvoeren. - Vertrouwen van klanten en partners
Klanten, partners en toezichthouders verwachten dat organisaties grip hebben op hun gegevensverwerking. Een verwerkingsregister draagt bij aan dat vertrouwen. - Voorbereiding op toezicht of incidenten
Mocht er zich een datalek voordoen of een klacht binnenkomen, dan is een verwerkingsregister vaak het eerste instrument waarmee je kunt aantonen dat je de AVG (-verplichtingen) serieus neemt.
Conclusie: formeel mag het, maar praktisch is het onverstandig
Hoewel het voorstel van de Europese Commissie wellicht lucht geeft aan MKB’ers, is het belangrijk om te onderstrepen dat het laten vervallen van het verwerkingsregister geen best practice is. In veel gevallen blijft het register juist een essentieel hulpmiddel voor privacy governance, risicobeheersing en compliance. Een belangrijk middel dus om AVG volwassen te worden!
Vrijgesteld zijn van de verplichting betekent niet dat het geen goed idee meer is. Integendeel: het vrijwillig blijven bijhouden van een verwerkingsregister helpt je als organisatie om beter te sturen, risico’s te beperken en incidenten te voorkomen. The Legal Company adviseert (bijna) iedere organisatie om een verwerkingsregister bij te houden, ongeacht het aantal werknemers.
Kortom: het mag straks misschien weg, maar je kunt het beter houden.
👉 Heeft u hulp nodig bij het opzetten of updaten van een verwerkingsregister? Of wilt u überhaupt de AVG-compliance van uw organisatie serieus aanpakken? Onze ondernemingsjuristen helpen u hier graag bij. Neem contact met ons op via info@thelegalcompany.nl of bel naar 020 345 0152.
[1] NB: The Legal Company adviseert ook voor deze kleine bedrijven onder de 250 werknemers, om altijd een verwerkingsregister bij te houden.
