Incidentele gegevensverwerking

Een criterium voor het moeten opstellen van een verwerkingsregister, is wanneer een verwerking niet incidenteel meer is. De vervolgvraag die gesteld kan worden, is: wanneer is een gegevensverwerking incidenteel? 

Al snel sprake van incidentele gegevensverwerking

De lat voor organisatorisch Nederland, om aan de AVG documentatieplicht te moeten voldoen, leek aanvankelijk laag te liggen. Vanaf 250 medewerkers dient een bedrijf een verwerkinsgregister op te stellen voor hun verwerkings­activiteiten. Echter, van verwerkingen is in de praktijk al snel vaker dan incidenteel sprake. Is er sprake van een leden-, medewerker-, klanten-, sollicitanten- of patiëntenlijst voor het doen van de administratie, dan betreffen dit gewoonlijke verwerkingen en kunnen deze wellicht niet meer als incidenteel worden beschouwd.

De criteria kunnen om die reden anders benaderd worden: stel altijd een verwerkingsregister voor uw verwerkings­activiteiten op, tenzij het een incidentele verwerking van gewone persoongegevens betreft dat èn (in geval van een datalek) geen risico voor betrokkenen met zich mee brengt èn de organisatie die de verwerking doet, minder dan 250 werknemers heeft.

AVG handleiding voor (niet) incidentele verwerking

Handleiding AVG vermeldt het volgende: “Bij niet-incidentele verwerking kunt u denken aan elke verwerking met een zekere bestendigheid. Denk hierbij bijvoorbeeld aan het bijhouden van een klantendatabase of een personeelsadministratie. Aangezien veruit de meeste verwerkingen niet-incidenteel zijn, zal in de praktijk slechts in een beperkt aantal gevallen een beroep op deze uitzondering kunnen worden gedaan.”

Uiteraard laat ook dit ruimte voor eigen interpretatie van wat incidenteel is. Er kan voor gekozen worden om geen verwerkingsregister op te stellen, maar de AVG documentatieplicht kan ook gezien worden als een kans, een manier om zich als bedrijf te onderscheiden van andere bedrijven en gewoonweg om zaken omtrent privacy op orde te hebben.

AVG voorbeelden AVG als kans