Tag

persoonsgegevens

Wel of niet verplicht datamap persoonsgegevens bijhouden?

By | Geen onderdeel van een categorie | No Comments

De AVG verplicht het bijhouden van een register van verwerkingen van persoonsgegevens (“overzicht gegevensstromen” of “datamap”).

Is elke organisatie verplicht tot het bijhouden van een register van verwerkingen van persoonsgegevens?

Ja, vrijwel iedere organisatie is verplicht tot het bijhouden van een register van verwerkingen van persoonsgegevens (“overzicht gegevensstromen” of “datamap”).

In de privacywet AVG staat dat de verplichting tot het bijhouden van een register van verwerkingen van persoonsgegevens niet geldt voor bedrijven met minder dan 250 werknemers. Maar er staat ook: tenzij het gebruik van de persoonsgegevens “niet incidenteel” (dat wil zeggen: structureel) is. Op basis van deze bepaling is elke organisatie die op structurele basis persoonsgegevens gebruikt wél verplicht een overzicht bij te houden.

Vrijwel iedere organisatie zal immers persoonsgegevens structureel verwerken. Omdat het zakelijk e-mail gebruikt of via een website IP-adressen verzamelt of bijvoorbeeld camerabewaking gebruikt. De verplichting om het overzicht bij te houden zal dus voor de meeste organisaties gelden, of ze nu meer of minder dan 250 werknemers hebben.

Maar, ook als een organisatie zeer sporadisch persoonsgegevens verwerkt, zal het overzicht nodig zijn wanneer het om bijzondere persoonsgegevens gaat of de verwerking een risico met zich meebrengt voor de personen, bijvoorbeeld omdat het om een kwetsbare groep personen gaat.

Welke organisaties zijn niet verplicht tot het bijhouden van een register van verwerkingen van persoonsgegevens?

Als er slechts zeer sporadisch persoonsgegevens worden verwerkt en de verwerking betreft geen bijzondere persoonsgegevens of een verwerking met zich mee brengt voor personen, bijvoorbeeld omdat het om een kwetsbare groep personen gaat, dan hoeft een organisatie geen register (“overzicht” of “datamap”) bij de houden.