Mogelijke versoepeling AVG verplichtingen

Europese Commissie stelt wijziging voor 
De Europese Commissie heeft recent een Omnibusvoorstel gedaan. Doel van deze aanpassing is het verlichten van lasten voor kleine en middelgrote organisaties en het daarmee stimuleren van economische groei. In het voorstel werd een mogelijke aanpassing besproken van de Algemene Verordening Gegevensbescherming (AVG). Het gaat onder meer om artikel 30 AVG, dat organisaties verplicht om een verwerkingsregister bij te houden. Dit register geeft inzicht in de verwerkingsactiviteiten binnen een onderneming of organisatie.

Huidige uitzonderingen op het verwerkingsregister 
Op dit moment is in lid 5 van artikel 30 AVG een uitzondering opgenomen ten aanzien van de verplichting om een verwerkingsregister bij te houden. Deze plicht geldt niet voor ondernemingen of organisaties die minder dan 250 werknemers hebben, tenzij:

• De verwerking waarschijnlijk een risico inhoudt voor de rechten en vrijheden van betrokkenen;
• De verwerking niet incidenteel is;
• Of er bijzondere categorieën van persoonsgegevens worden verwerkt.

Uitbreiding uitzondering naar 750 werknemers
De Europese Commissie wil deze uitzondering verruimen. Voorgesteld wordt dat:

• Organisaties met minder dan 750 werknemers en een nader te bepalen jaarlijkse omzet, evenals non-profitorganisaties tot 750 werknemers, geen verwerkingsregister hoeven bij te houden;
• De “tenzij-formule” wordt aangepast: alleen organisaties met verwerkingen die een hoog risico voor de rechten en vrijheden van betrokkenen met zich meebrengen (en niet slechts een risico), blijven onder de verplichting vallen.

Reactie van de toezichthouders 
De EDPB en EDPS geven aan open te staan voor deze voorgenomen wijzigingen, maar wijzen op het belang van een gedegen impactanalyse. Zij willen dat er goed wordt gekeken naar de gevolgen van de wijzigingen op de balans tussen het recht op bescherming van persoonsgegevens en de belangen van organisaties met minder dan 750 werknemers, en hoeveel ondernemingen en organisaties hiervan zouden profiteren. Ook benadrukken de EDPB en EDPS dat organisaties, ondanks een mogelijke aanpassing van de verwerkingsregisterplicht, nog steeds volledig moeten voldoen aan alle andere AVG-verplichtingen.

Er volgt nog een consultatieronde over deze voorgenomen wetswijziging.

Vervolgstappen voor jouw organisatie 
Allereerst geven de EDPB en EDPS aan dat onafhankelijk van deze voorgenomen wetswijziging, alle overige AVG-verplichtingen nagekomen moeten worden. Het is dus van belang deze goed in te richten. Halsten neemt deze check en eventuele verbeteringen op zich, zodat de organisatie volledig voldoet aan de juiste maatstaven.

Anticipeer daarnaast op de wetswijziging door in kaart te brengen of de verwerkingen van persoonsgegevens binnen jouw organisatie een hoog risico vormen voor de rechten en vrijheden van betrokkenen. Een dergelijke risicoanalyse kan zorgvuldig uitgevoerd worden door ons privacy team.

Vragen of benieuwd wat onze aanpak zou zijn?
Graag vertellen we in een vrijblijvend kennismakingsgesprek meer over hoe we met jou samenwerken. Neem contact op met collega Allard Koers.

allard.koers@halsten.nl