Nieuwe privacyregelgeving: documentatieplicht

Nieuwe privacyregelgeving documentatieplicht Algemene Verordening Gegevensbescherming AVG advocaat Monique Hennekens Waste Insight PieterBas Automatisering

Privacy-advocaat Monique Hennekens schreef in haar serie over privacy in de afvalindustrie vorige keer over de nieuwe privacyregelgeving. Elke organisatie moet vanaf 25 mei 2018 voldoen aan de nieuwe privacyregelgeving, de Algemene Verordening Gegevensbescherming (AVG). In deze blogpost belicht ze de meeste relevante wijziging: de documentatieplicht.

Documentatieplicht

Bij iedere verwerking van persoonsgegevens zal een organisatie aan de hand van documenten moet kunnen aantonen dat zij voldoet aan de privacyregels. Dat wordt ook de verantwoordingsplicht genoemd. In de afvalbranche werkt een organisatie bijvoorbeeld met adresgegevens van burgers, met klantgegevens en met gegevens van medewerkers of uitzendkrachten. Dat zijn allemaal persoonsgegevens en daarvoor geldt dus ook vanaf 25 mei 2018 deze verantwoordingsplicht. Een uitwerking daarvan is de verplichting tot het opstellen en bijhouden van een register, ofwel de documentatieplicht. Als de Autoriteit Persoonsgegevens daarom vraagt, moet dat register worden verstrekt.

Register verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke bepaalt het doel van en de middelen voor de verwerking van de persoonsgegevens. Zo is de gemeente bij de inzameling van huishoudelijk afval bijvoorbeeld de verwerkingsverantwoordelijke voor de verwerkingen van persoonsgegevens. Het afvalbedrijf en de IT-leverancier zijn verwerkingsverantwoordelijken voor hun personeelsadministraties of klantenbestanden.

De verwerkingsverantwoordelijke zal een register moeten bijhouden. Dit zogeheten ‘register van verwerkingsactiviteiten’ bevat informatie over de persoonsgegevens die een organisatie verwerkt. Daarin moeten de volgende gegevens zijn opgenomen:

  • Naam en contactgegevens van de verwerkingsverantwoordelijke en (indien die er is) van de functionaris voor de gegevensbescherming (FG)
  • De doeleinden waarvoor de persoonsgegevens worden verwerkt
  • De groep(en) personen waar de gegevens betrekking op hebben
  • Categorieën van persoonsgegevens (NAW-gegevens, BSN, financiële gegevens, etc.)
  • Degenen aan wie de persoonsgegevens worden verstrekt (bijvoorbeeld de gemeente of het afvalbedrijf) en of deze zich buiten de EU bevinden (bijvoorbeeld cloud providers)
  • Of sprake is van doorgifte van de persoonsgegevens aan een land buiten de EU (bijvoorbeeld via de cloud) en zo ja/hoe aan die wettelijke regels wordt voldaan
  • Voor zover mogelijk een beschrijving van de technische en organisatorische beveiligingsmaatregelen
  • Indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist (bewaartermijn)

Register verwerker

Een verwerker is degene die in opdracht en ten behoeve van een ander persoonsgegevens verwerkt. Bijvoorbeeld een salarisadministratiekantoor voor de verwerking van salarissen voor andere werkgevers, een afvalbedrijf bij de verwerking van adresgegevens voor de uitgifte van afvalpassen of een systeembeheerder voor het onderhoud van klantsystemen. Een organisatie die als verwerker optreedt, zal een register moeten bijhouden van alle categorieën van verwerkingsactiviteiten die zij voor een verwerkingsverantwoordelijke verricht. Daarin moeten de volgende gegevens staan:

  • De naam en de contactgegevens van de verwerker en van iedere verwerkingsverantwoordelijke voor wie gegevens worden verwerkt (en eventueel de FG)
  • De categorieën van verwerkingen per verwerkingsverantwoordelijke
  • Of sprake is van doorgifte van de persoonsgegevens aan een land buiten de EU en zo ja/hoe wordt voldaan wordt aan die wettelijke regels
  • Voor zover mogelijk een beschrijving van de technische en organisatorische beveiligingsmaatregelen die de verwerker heeft getroffen

Wilt u weten welke afspraken u over privacy moet maken bij afvalinzameling? Lees dan de post van advocaat Monique Hennekens op het Waste Inisght-blog.

Moet het MKB ook een register bijhouden?

Het opstellen van een register is in ieder geval verplicht voor alle organisatie met meer dan 250 werknemers. Maar ook organisaties met minder dan 250 werknemers zullen een register moeten bijhouden. Dat hoeft alleen niet voor alle verwerkingen. In de afvalbranche zal het gaan om de verwerkingen die niet incidenteel zijn. Denk aan een personeelsadministratie, een klantenbestand of de financiële administratie. Van deze verwerkingen zal een register moeten worden bijgehouden, zoals dat hiervoor is toegelicht.

Conclusie

Vanaf 25 mei 2018 zal iedere organisatie moeten voldoen aan de nieuwe privacyregelgeving, de AVG. De meeste relevante wijziging is dat aan de hand van documenten moet kunnen worden aangetoond dat de organisatie ook voldoet aan de AVG. Een eerste stap daarin is het opstellen en bijhouden van een register. Daarin moeten per verwerking van persoonsgegevens bepaalde gegevens worden opgenomen. Als de Autoriteit Persoonsgegevens erom vraagt zal het register ook aan haar verstrekt moeten worden.

Meer weten?

Lees dan deze blogpost van Monique over de documentatieplicht of kijk voor meer informatie over de verantwoordingsplicht op de website van de Autoriteit Persoonsgegevens. Of lees ter voorbereidingop de AVG het 10-stappenplan van de Autoriteit Persoonsgegevens.

Dit is een blogpost in een serie over privacy in de afvalindustrie. De eerdere blogposts van Monique gingen over:
Persoonsgegevens verwerken in de afvalbranche, wat houdt dat in?
Afvalpas? Leg eerst de doeleinden vast!
Persoonsgegevens verwerken met een afvalpas: wat is de grondslag?
Privacy en de afvalpas: verwerk niet meer gegevens dan noodzakelijk
Privacy en de afvalpas: informatieplicht
Beveiliging persoonsgegevens in de afvalbranche
Arnhemse afvalpaszaak: wat kan de afvalbranche ermee?
Meldplicht datalekken in de afvalbranche
Nieuw besluit in de Arnhemse afvalpaszaak
Privacy bij afvalinzameling: welke afspraken moeten worden gemaakt
Privacy bij afvalinzameling: rechten burgers
Nieuwe privacyregelgeving: wat verandert er?

Wilt u meer weten over privacy in de Nederlandse afvalindustrie? Neem dan contact op met Monique Hennekens. Klik op deze link voor haar gegevens. Of blijf op de hoogte en volg Waste Insight op Twitter of LinkedIn.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *