5 aanbevelingen Autoriteit Persoonsgegevens over het artikel 30 AVG register

28 november 2018, laatst geüpdatet 11 september 2024
De Autoriteit Persoonsgegevens (AP) heeft op 28 november 2018 vijf aanbevelingen gepubliceerd over het register dat op grond van de AVG moet worden bijgehouden.
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel

De Autoriteit Persoonsgegevens (AP) heeft op 28 november 2018 vijf aanbevelingen gepubliceerd over het register dat op grond van de AVG moet worden bijgehouden. Deze aanbevelingen zijn het gevolg van de inventarisatie bij de AP onder 30 bedrijven en instellingen.

De aanbevelingen

De aanbevelingen luiden als volgt:

  1. Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
  2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
  3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
  4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
  5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.

Kort commentaar

Het valt op dat de Autoriteit Persoonsgegevens de registerplicht en de verantwoordingsplicht uit de AVG combineert. Nergens staat echter in de AVG dat verantwoording via het register moet plaatsvinden. Er staat alleen in overweging 82 dat het register moet bestaan vanwege de verantwoordingsplicht.

Verder vallen puntsgewijs de volgende zaken op:

  1. Volgens artikel 30 AVG in lid 1 onder f hoeven bewaartermijnen alleen 'indien mogelijk' vermeld te worden. Waarom de AP hier nu toch een verplichting van maakt is onduidelijk.
  2. Contactgegevens moeten inderdaad op grond van 30.1a AVG worden opgenomen in het register;
  3. Op grond van de AVG mag het register op papier worden gesteld (artikel 30.3 AVG). De eis van een bestand is dus in strijd met de AVG. Overzichtelijkheid lijkt een redelijke eis.
  4. De opslaglocatie van persoonsgegevens is geen wettelijk verplicht element. Het lijkt wel een praktische tip.
  5. De AP wil kennelijk dat het register wordt opgezet per verwerking/verwerkingsactiviteit, niet per afdeling of per systeem. Op zichzelf sluit dit wel enigszins aan bij de systematiek van het oude Vrijstellingsbesluit. Het staat echter nergens in de AVG. De AVG zelf laat eigenlijk volstrekt in het midden hoe het register wordt opgezet/ingedeeld (of je moet dit inlezen in het woord "verwerkingsactiviteiten"in 30.1 AVG).

    En of de indeling per verwerking nu heel veel meer duidelijkheid schept is ook de vraag, nu een verwerking volgens de AVG zelf zowel een enkelvoudige proces als "een geheel van bewerkingen" kan zijn (artikel 4.2 AVG). Het blijft toch enigszins arbitrair waar een verwerkingsproces begint en eindigt, zeker gelet op de neiging gegevens steeds meer te koppelen/integreren in overkoepelende systemen (CRM, ERP, DMS).

Ten slotte

Heeft u vragen over het privacyrecht? Neem gerust contact op.

Gerelateerd

vrouw justitia

De (bijzondere) zorgplicht van de IT-leverancier: een overzicht

Welke inspanning mag van een IT-leverancier verwacht worden? De beantwoording van die vraag wordt gekleurd door de zorgplicht van een IT-leverancier. En deze...

Hoe goed is jouw bedrijf beveiligd?

Alle computerschermen op zwart, een natuurramp, of een inbraak midden in de nacht. Het is de nachtmerrie van iedere bestuurder. Voor belangrijke organisaties,...

Opnieuw verbod op tracking cookies in kort geding

Nadat onlangs Criteo al een verbod kreeg om tracking cookies te plaatsen zonder toestemming, is nu ook aan Microsoft, LinkedIn, MIOL en Xandr een verbod...

Aandachtspunten bij het gebruik van AI in de zorg (deel II)

Artificial Intelligence (AI) is een gamechanger voor de gezondheidszorg. Voor een sector die kampt met personeelstekorten en groeiende kosten, kan...

Verplichte basisverzekering arbeidsongeschiktheid voor zelfstandigen: een stap dichterbij een gelijker speelveld voor werknemers en zelfstandigen met huidig wetsvoorstel?

Op 11 juni 2024 is de internetconsultatie gestart voor het wetsvoorstel Wet basisverzekering arbeidsongeschiktheid zelfstandigen.

Hoge Raad: autorisaties moeten aansluiten bij beleid en dat beleid moet helder zijn en eenduidig worden toegepast

De Hoge Raad heeft onlangs een beslissing genomen over de verwerking van persoonsgegevens in het E-archief van de rechtspraak. Uit de beslissing volgen enkele...
No posts found