Brussel wil AVG-verplichting voor bijhouden verwerkingsregister versoepelen
De Europese Commissie wil de verplichting uit de AVG voor het bijhouden van een verwerkingsregister op verschillende punten versoepelen. Europese privacytoezichthouders hebben voorlopige steun voor het plan toegezegd, maar hebben ook een aantal aandachtspunten. Het verwerkingsregister bevat informatie over de persoonsgegevens die een organisatie verwerkt.
"Het opstellen van een verwerkingsregister (AVG: 'register van verwerkingsactiviteiten') is onder de AVG vaak een verplichte maatregel. Of u een verwerkingsregister moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt", zo laat de Autoriteit Persoonsgegevens weten. Zo hoeven organisaties met minder dan 250 medewerkers geen register bij te houden, tenzij er structureel persoonsgegevens worden verwerkt, verwerkte persoonsgegevens waarschijnlijk een risico kunnen inhouden voor de rechten en vrijheden van de betrokken personen of dat het om bijzondere persoonsgegevens gaat.
Als het aan de Europese Commissie ligt wordt de uitzondering voor organisaties kleiner dan 250 medewerkers uitgebreid naar organisaties met minder dan 500 werknemers en een bepaalde jaaromzet, alsmede organisaties zoals non-profits die kleiner dan vijfhonderd medewerkers zijn. Daarnaast wil Brussel een aanpassing van de bestaande uitzondering wat betreft het risico voor de rechten en vrijheden van betrokkenen. De tekst in het voorstel stelt dat de uitzondering niet geldt in gevallen waarbij er sprake is van 'een hoog risico', terwijl de huidige tekst spreekt over 'risico'.
Op basis van de beschikbare informatie stelt de Europese privacytoezichthouder EDPS en de Europese privacytoezichthouders verenigd in de EDPB dat ze voorlopige steun voor het voorstel kunnen geven, zolang dit geen gevolgen heeft voor de andere AVG-verplichtingen waar organisaties aan moeten voldoen. Daarnaast willen de toezichthouders van Brussel weten hoeveel organisaties van het nieuwe voorstel gaan profiteren en hoe er een eerlijke balans wordt gevonden tussen de bescherming van persoonlijke data en de belangen van organisaties met minder dan vijfhonderd medewerkers.
Alsof er organisaties zijn die incidenteel persoonsgegevens van hun medewerkers verwerken. Lijkt me toch dat die medewerkers structureel elke maand betaald willen worden en niet wanneer de werkgever er incidenteel één keer per jaar zin in of tijd voor heeft.
Daarbij heeft een register zin om inzichtelijk te krijgen waar persoonsgegevens worden opgeslagen en verwerkt zodat men ook weet welke systeem te beschermen, welke gegevens bij een gehackt/ransomware systeem gecompromitteerd zijn en welke leverancier/ondersteuner gecontacteerd moet worden bij problemen. Hoe kan men een goed privacystatement schrijven zonder dat men weet welke persoonsgegevens waar verwerkt worden? Het niet hebben van een register ontslaat de verantwoordelijke niet van het voldoen aan de AvG!
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?