Register verwerkingsactiviteiten: wie, wat en hoe?

Vanaf de inwerkingtreding van de GDPR (Europese Algemene Verordening Gegevensbescherming) op 25 mei 2018, zullen heel wat ondernemingen de verplichting hebben om een register van de verwerkingsactiviteiten bij te houden. Het register zal de huidige aangifteplicht bij de Privacycommissie vervangen. Uit een recente aanbeveling van de Privacycommissie blijkt dat deze registerplicht zeer ruim is en op zo goed als alle ondernemingen van toepassing zal zijn. Ook heeft de Privacycommissie deze week een model van een register gepubliceerd.   

Met onze newsflash van 23 maart 2017 hebben we u een overzicht gegeven van de ondernemingen op wie de registerplicht van toepassing is.

Overeenkomstig de GDPR zal elke onderneming - ongeacht de grootte - die “niet incidenteel” persoonsgegevens verwerkt hiervan een register moeten bijhouden. In haar recente aanbeveling verduidelijkt de Privacycommissie dat ook klantenbeheer, personeelsbeheer of leveranciersbeheer als “niet incidentele” verwerkingen moeten worden beschouwd. Hoewel deze verwerkingen vandaag nog genieten van een uitzondering op de aangifteplicht bij de Privacycommissie, zullen deze verwerkingen vanaf de inwerkingtreding van de GDPR dus wel moeten worden opgenomen in een register. Hiermee komt de Privacycommissie terug op haar eerdere standpunt dat dergelijke verwerkingen die vandaag van een uitzondering op de aangifteplicht genieten, als incidenteel kunnen worden beschouwd en bijgevolg geen aanleiding zouden geven tot de registerplicht.

Dit standpunt van de Privacycommissie impliceert dat elke onderneming die gegevens van haar personeel, klanten en/of leveranciers of andere personen bijhoudt, een register met verwerkingsactiviteiten zal moeten bijhouden. In de praktijk zal dus wellicht zo goed als geen enkele onderneming ontsnappen aan de registerplicht. Welke verwerkingen in het register moeten worden opgenomen kan wel nog verschillen in functie van de grootte van de onderneming.

Bovendien bevestigt de Privacycommissie dat zij op algemene wijze álle verwerkingsverantwoordelijken en verwerkers aanraadt om een register bij te houden in het kader van de “verantwoordingsplicht”.

Verder verduidelijkt de Privacycommissie dat het register zowel in elektronische versie als op papier kan worden bijgehouden, en dat het gaat om een “dynamische” verplichting waarbij het register continu moet worden bijgewerkt.
 
De Privacycommissie heeft deze week in het Nederlands en in het Frans een model van register gepubliceerd dat een eerste hulp kan vormen bij het in kaart brengen van de gegevensstromen binnen de onderneming. De Privacycommisie verduidelijkt dat het model register geen officieel document is, en dat ook andere registers toegelaten zijn. In elk geval zal het register op maat van uw onderneming moeten worden gemaakt. Het model register kunt u via deze link downloaden.

> Actiepunt
Zo goed als elke onderneming die persoonsgegevens verwerkt zal hiervan een register moeten bijhouden. Claeys & Engels staat u hierin graag bij.