De AVG documentatieplicht

Anders dan onder het Wbp regime het geval was hoeft u vanaf 25.05.2018 geen melding meer te doen aan de Autoriteit Persoonsgegevens (AP) in het geval u
persoonsgegevens verwerkt.

In plaats daarvan dient u (als verantwoordelijke of als bewerker – in de termen van de AVG: verwerker-) te gaan voldoen aan de in de AVG opgenomen documentatieplicht. Een documentatieplicht die inhoudt dat u verplicht bent een register/documentatie bij te houden van alle verwerkingen die u binnen uw organisatie (of elders bij een verwerker) uit laat voeren, zodat u op elk moment uw verwerkingen van persoonsgegevens kunt verantwoorden, of anders gezegd: aan kunt tonen dat u, in overeenstemming met de bepalingen van de AVG, de juiste organisatorische en technische maatregelen hebt getroffen.

 

Meer in het bijzonder moet u dus een privacy-administratie bij gaan houden om de AP op elk moment te kunnen voorzien van informatie over hoe uw organisatie de verwerking van persoonsgegevens heeft geregeld en de veiligheid daarvan heeft geborgd. In het geval u dat niet kunt riskeert u een aanzienlijke boete.

De administratie moet minimaal de volgende informatie bevatten:

  • De gegevens over de verantwoordelijke (of medeverantwoordelijke);
  • Het doel van de verwerking;
  • Beschrijving van de categorieën van betrokkenen en persoonsgegevens;
  • De bewaartermijnen van de persoonsgegevens;
  • De categorieën ontvangers waaraan persoonsgegevens ter beschikking gesteld zijn of zullen worden, inclusief ontvangers in derde landen;
  • Doorgifte naar derde landen of internationale organisaties, inclusief welke landen/organisaties;
  • Een beschrijving van de genomen technische en organisatorische maatregelen.

Ook voor u?

Weliswaar is in de overwegingen bij de AVG opgenomen dat rekening gehouden zal worden met de specifieke situatie van het (kleinere) MKB segment, en is om die reden opgenomen dat de documentatieplicht niet zal gelden voor organisaties met minder dan 250 werknemers, maar als we naar de tekst kijken zoals die uiteindelijk in de AVG is opgenomen dan is te vrezen dat ook het MKB niet aan de documentatieplicht gaat ontkomen en één van de beoogde doelen van de AVG (een administratieve lastenverlichting) niet zal worden bereikt. Integendeel.

Immers te lezen is dat:

De documentatieplicht is niet van toepassing voor bedrijven met minder dan 250 werknemers behalve wanneer:

  • de verwerkingen een risico (kunnen) vormen voor de rechten en vrijheden van betrokkenen,
  • het verwerken niet incidenteel is of
  • er speciale categorieën persoonsgegevens of persoonsgegevens met betrekking tot criminele veroordelingen/overtredingen verwerkt worden.

Het zal m.n. de restrictie t.a.v. de incidentele verwerking zijn die tot een documenteren zal moeten gaan leiden, immers in de meeste bedrijven zullen de verwerkingen verre van incidenteel zijn terwijl daarnaast ook de categorie risicovolle verwerkingen tot een registratie zullen gaan leiden, want ook u zult in uw personeelsadministratie de BSN nummers van uw personeelsleden hebben opgenomen.

Mogelijk dat de Autoriteit Persoonsgegevens voor de introductie van de AVG per 25 mei 2018 nog met nadere richtlijnen zal komen maar vooralsnog is aan te bevelen daar niet op te gaan rekenen en tijdig uw organisatie gereed te maken om uw verwerkingen te gaan documenteren.