Data Register GDPR: aanbeveling CBPL

De Privacycommissie heeft een aanbeveling gepubliceerd over het verwerkingsregister dat artikel 30 uit de GDPR oplegt. Het is een lijvig document waar vrij gedetailleerd de voorwaarden en context rond het verwerkingsregister worden overlopen. Het is niet de bedoeling een volledig overzicht te geven, maar een aantal interessante punten die mij opvielen:

  • Ook de verwerker moet een verwerkingsregister bijhouden ten aanzien van de verwerkingen die hij doet voor de verantwoordelijke (dit is echter een light versie, oftewel minder verplichte vermeldingen)
  • De uitzondering die geldt voor bedrijven met minder dan 250 werknemers is een wassen neus: het is niet de grootte van een onderneming die bepaalt of er meer of minder risico’s zijn voor de verwerking. De uitzondering geldt niet voor verwerkingen die “niet incidenteel” zijn, wat concreet betekent dat verwerkingen van klantengegevens of eigen personeel al aanleiding geven tot het verplicht bijhouden van het register. Ook de KMO dus! (ik vraag me af wie zich überhaupt nog kan beroepen op die uitzonderingen)
  • Concreet beveelt de Privacycommissie aan dat iedere onderneming een register bijhoudt.
  • Men kan zich baseren op de reeds eerder ingediende aangifte, het register vervangt in feite deze aangifte (dit geldt dus niet voor verwerkers, die geen aangifte moe(s)ten indienen).
  • Het register is niet bedoeld om openbaar te publiceren (dit in tegenstelling tot de aangifte), enkel in het kader van de verantwoordingsplicht die is opgenomen in de GDPR en als informatiebron voor de Privacycommissie wanneer nodig.
  • Vrijstellingen voor de huidige aangifteplicht (verwerkingen met betrekking tot klanten, leveranciers, personeel) gelden NIET voor het register
  • Er is geen vast model voor het register, zolang het schriftelijk, electronisch en begrijpelijk is (White Wire heeft hier een template voor beschikbaar gesteld: voor zowel de verantwoordelijke als de verwerker)
  • Het register hoeft niet per se in een landstaal te worden opgesteld, een Engels register voor een multinational is prima.

Tot slot bevat de aanbeveling nog een aantal annexen met toelichting, zeker nuttig om eens te bekijken!