De Europese Commissie heeft een voorstel gepubliceerd om de administratieve lasten van een nieuwe categorie bedrijven te verlichten. Ook op het gebied van de AVG. Mogelijk vervalt de verplichting om een verwerkingsregister bij te houden voor bedrijven tot 750 medewerkers. Hoe dat zit?
Administratieve lastenverlichting door nieuwe bedrijfscategorie
Op dit moment werkt Europa met 2 bedrijfscategorieën:
small and medium enterprises (SMEs), met minder dan 250 medewerkers en een omzet tot €50 miljoen of een balanstotaal tot €43 miljoen; en
large enterprises, alle andere bedrijven.
De Europese Commissie stelt nu voor om een derde categorie in het leven te roepen, namelijk:
small-mid caps (SMCs), met minder dan 750 werknemers en een omzet tot €150 miljoen of een balanstotaal tot €129 miljoen.
Het doel hiervan?
Een administratieve lastenverlichting van €400 miljoen voor een grote groep bedrijven in Europa, die nu aan de vaak zware regels en eisen van zeer grote bedrijven moeten voldoen. Hierdoor moet ruimte ontstaan voor groei en innovatie bij deze bedrijven.
Verplichting tot verwerkingsregister verdwijnt mogelijk
Bijna 38.000 bedrijven binnen de Europese Unie vallen in de nieuwe categorie. In het voorstel van de Europese Commissie profiteren zij van een aantal voordelen, die tot nu toe alleen aan de SME’s waren voorbehouden. Daarnaast zullen bepaalde regels voor hen mogelijk vereenvoudigd worden.
Een van die regels betreft de administratieve rompslomp die de AVG met zich brengt. Om precies te zijn, het verwerkingsregister.
Het verwerkingsregister bevat een overzicht van de verwerkingen van persoonsgegevens die binnen een organisatie plaatsvinden. Denk aan het doel van de verwerking, het type gegevens dat wordt verwerkt en of de gegevens worden doorgegeven aan een land buiten de EU.
Als een organisatie meer dan 250 personen in dienst heeft, geldt de verplichting om een dergelijk overzicht op te stellen.
Daar wil de Europese Commissie verandering in brengen met de volgende maatregelen.
Uitbreiding van de vrijstelling van de bewaarplicht onder artikel 30(5) van de AVG naar SMC’s en organisaties met minder dan 750 werknemers.
Verplichting voor SME’s, SMC’s en organisaties met minder dan 750 werknemers om alleen gegevens bij te houden wanneer de verwerking van persoonsgegevens als ‘hoog risico’ kan worden beschouwd onder de AVG.
Als dit voorstel wordt aangenomen, hoeven SMC’s en organisaties met minder dan 750 werknemers geen verwerkingsregister meer aan te leggen of bij te werken, mits het niet waarschijnlijk is dat deze activiteiten een hoog risico inhouden voor de rechten en vrijheden van betrokkenen.
Afweging verwerking persoonsgegevens met hoog risico
De verwerking van sommige persoonsgegevens leveren waarschijnlijk een hoog privacy risico op voor de betrokkenen. Denk bijvoorbeeld aan:
bijzondere persoonsgegevens, zoals medische informatie;
strafrechtelijke gegevens;
creditcardgegevens;
Burgerservicenummer (BSN) in combinatie met aanvullende gegevens, zoals NAW-gegevens; en
(kopieën van) identiteitsdocumenten;
Als een organisatie persoonsgegevens verwerkt die waarschijnlijk een hoog privacy risico kunnen opleveren, dan is een data protection impact assessment (DPIA) vooraf sowieso verplicht. Daarnaast is het verwerkingsregister dus verplicht bij de verwerking van dergelijke gegevens. Om dit te beoordelen, maakt u dezelfde afwegingen als bij de DPIA.
Vervolgstappen
Bovenstaande is een voorstel van de Europese Commissie, waar verdere besluitvorming nog over moet plaatsvinden.
We houden u op de hoogte!
Zeker weten dat u niks mist?
Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.