Vereenvoudiging van GDPR – impact voor de DPO?

Datum
29.05.2025

Op 21 mei 2025 publiceerde de Europese Commissie een voorstel tot wijziging van de Algemene Verordening Gegevensbescherming (GDPR). Dit voorstel maakt deel uit van een “Omnibus package” dat bedoeld is om Europese regelgeving te vereenvoudigen en zo de veerkracht van kleine en middelgrote organisaties te vergroten. De focus ligt daarbij op het verminderen van administratieve lasten als gevolg van overregulering.

Een belangrijk onderdeel van deze vereenvoudiging betreft onder andere het register van verwerkingsactiviteiten. Dit register verplicht organisaties om alle verwerkingen van persoonsgegevens systematisch te documenteren. In de onderstaande analyse bekijken we welke impact de voorgestelde wijzigingen kunnen hebben op het werk van de DPO.

Het register van verwerkingsactiviteiten zoals vandaag vastgelegd

Om administratieve overlast te beperken, voorziet de huidige GDPR-tekst in een uitzondering op de verplichting om een register van verwerkingsactiviteiten bij te houden voor organisaties met minder dan 250 medewerkers. Zij zijn niet verplicht een register op te stellen, tenzij aan minstens één van de volgende drie voorwaarden is voldaan:

  • de verwerking brengt waarschijnlijk een risico met zich mee voor de rechten en vrijheden van betrokkenen;
  • de verwerking is niet incidenteel;
  • de verwerking heeft betrekking op bijzondere categorieën van persoonsgegevens (artikel 9) of op gegevens over strafrechtelijke veroordelingen en strafbare feiten (artikel 10).

Aangezien het volstaat dat slechts één van deze voorwaarden van toepassing is om alsnog een register voor alle verwerkingen verplicht te maken, blijkt deze uitzondering in de praktijk zelden van toepassing. Al blijft bij de interpretatie van deze regels de twijfel bestaan of er in deze gevallen überhaupt geen registerplicht is, dan wel dat het register van verwerkingsactiviteiten in kleine organisaties zich beperkt tot de in artikel 30.5 opgesomde set verwerkingen (zie FAQ EDPB daarover en de publicatie van de Artikel 29-werkgroep (WP29)).

Wat staat in het recente voorstel van de Commissie?

In de eerste plaats wil de Commissie met haar voorstel bereiken dat ook middelgrote ondernemingen kunnen profiteren van de beoogde versoepelingen. Daartoe stelt zij voor om een definitie in te voeren van small mid-cap enterprises (SMCs): organisaties met maximaal 750 medewerkers.

Daarnaast stelt de Commissie voor om de drie voorwaarden die momenteel bepalen of een verwerkingsregister verplicht is, te versoepelen. Door deze aanpassing zal in de praktijk vermoedelijk minder vaak een register nodig zijn.

Voortaan zal een register enkel nog verplicht zijn voor ondernemingen of organisaties die

  • met 750 personen of meer in dienst werken of
  • met minder dan 750 werknemers en
    • die verwerkingen uitvoeren die een ‘hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen’ (in praktijk: waarvoor je conform artikel 35 een DPIA moet uitvoeren) met uitzondering van verwerkingen in verband met arbeidsrecht en het socialezekerheids- en socialebeschermingsrecht (9.2 (b))

Kort gezegd: ben je een organisatie met minder dan 750 medewerkers, dan hoef je straks enkel nog een register van verwerkingsactiviteiten bij te houden als je verwerkingen uitvoert die een hoog risico inhouden, en die geen verband houden met wettelijke verwerkingen voor personeelsbeheer.

Merk op dat de vrijstelling geldt voor ‘ondernemingen of organisaties‘. De vraag stelt zich wat men met deze laatste categorie bedoelt. Zijn overheidsinstellingen ook organisaties? Uit de context van het Omnibus pakket, zouden we kunnen stellen dat men enkel organisaties bedoelt die een commercieel oogmerk hebben.

De Commissie verwijst immers naar definities van “SME/SMC-enterprises”, wat betrekking heeft op organisaties met een economische activiteit. Gezien we ervan uitgaan dat op het punt van administratieve verplichtingen overheden weinig uitsluitingen kennen (zie ook verder: de aanstellingscriteria voor een DPO), gaan we er in dit artikel van uit dat overheden niet onder de vrijstelling vallen.

Waarvoor heeft de DPO een register nodig?

Een actueel en volledig register van verwerkingsactiviteiten vormt de basis voor een doeltreffende toezichtstaak van de Data Protection Officer (DPO). Met een goed ingevuld register kan de DPO niet alleen beter informeren over de geldende verplichtingen, maar ook gerichter adviseren en controleren.

Zonder een duidelijk overzicht van welke verwerkingen binnen de organisatie plaatsvinden, ontbreekt voor de DPO het noodzakelijke vertrekpunt om te beoordelen of de regels uit de AVG worden nageleefd.

Het register is dus veel meer dan een administratieve verplichting: het is een strategisch instrument dat de DPO in staat stelt risico’s te identificeren, prioriteiten te bepalen en gerichte controles uit te voeren.

Ook de EDPB benadrukt het belang van het register in richtsnoer wp243. Daarin wordt expliciet gesteld dat het register een essentieel hulpmiddel is voor de DPO om zijn of haar toezichtstaken te kunnen uitvoeren. Hoewel het opstellen en bijhouden van het register niet tot de formele verantwoordelijkheid van de DPO behoort, dient het wel onder diens toezicht te vallen. In die zin fungeert het register als een sleutelinstrument voor monitoring, advies en controle.

Wat is de impact van het voorstel op het werk van de DPO?

De voorgestelde vereenvoudiging van de GDPR heeft enkel onrechtstreekse gevolgen voor de werking van de Data Protection Officer (DPO). Het voorstel van de Europese Commissie wijzigt namelijk op geen enkel punt de bepalingen rond de aanstelling of taken van de DPO zoals die vandaag in de GDPR zijn vastgelegd.

Een mogelijk indirect gevolg ontstaat wanneer een DPO moet worden aangesteld in een context waarin geen verplichting bestaat om een register van verwerkingsactiviteiten op te stellen. Zoals eerder toegelicht, is dat register een essentieel hulpmiddel voor de DPO om zijn of haar taken naar behoren uit te voeren.

Kan een DPO worden aangesteld zonder registerplicht?

Wat zegt de GDPR tekst en het nieuwe voorstel van de Commissie.

Artikel 37 van de GDPR bepaalt in welke gevallen een DPO verplicht moet worden aangesteld. Zo is een DPO verplicht wanneer de verwerkingen worden uitgevoerd door een overheidsinstelling. Zoals eerder aangegeven, gaan we er in dit artikel van uit dat overheden niet onder de beoogde vrijstelling vallen.

De twee andere gevallen waarin een DPO verplicht moet worden aangesteld — namelijk bij grootschalige, systematische monitoring of bij grootschalige verwerking van gevoelige gegevens (artikel 9 en 10) — brengen vrijwel altijd een hoog risico met zich mee.

Daardoor blijft, desgevallend, in de praktijk ook de registerplicht van kracht ongeacht de grootte van de organisatie. (noot: verderop bespreken we wel een specifieke uitzondering in het voorstel voor verwerkingen in het kader van een arbeidsrelatie).

Specifieke situaties in België en Vlaanderen

In België en Vlaanderen kan zich echter een specifieke situatie voordoen waarbij een DPO verplicht moet worden aangesteld, terwijl er géén registerplicht geldt. Dit is het geval bij verwerkers die optreden voor overheidsinstanties. Volgens Vlaamse en federale regelgeving moeten deze verwerkers, afhankelijk van het niveau, altijd of onder bepaalde voorwaarden een DPO aanstellen:

  • In Vlaanderen: indien een instantie beroep doet op een verwerker is de aanstelling van een DPO bij die verwerker noodzakelijk
  • In België: verwerkers voor overheden stellen een DPO aan indien de verwerking van deze gegevens een hoog risico kan inhouden

Wanneer zo’n verwerker een private KMO is die wordt aangesteld door een Vlaamse instelling, kan het dus gebeuren dat een DPO verplicht is, maar de registerplicht niet van toepassing is. De verwerkingen van de KMO zijn immers niet noodzakelijk een hoog risico. In dat geval moet de DPO, indien die dat wenst, op een alternatieve manier — of alsnog via een vrijwillig aangelegd register — de verwerkingsactiviteiten in kaart brengen.

Uitzondering artikel 9.2(b)

Een tweede uitzonderingssituatie doet zich voor bij organisaties die uitsluitend hoog risico-verwerkingen uitvoeren in het kader van personeelsbeheer, waarbij bijzondere categorieën van persoonsgegevens worden verwerkt onder de uitzondering van artikel 9.2(b). In dat geval zou de organisatie kunnen worden vrijgesteld van de registerplicht, terwijl de aanstelling van een DPO toch verplicht kan zijn.

Deze verwerkingen moeten wel gebaseerd zijn op wetgeving, waardoor de wetgever bepaalt of en onder welke voorwaarden dit scenario mogelijk is. Nationale regelgeving kan aanvullende verplichtingen opleggen.

Vrijwillige aanstelling van een DPO

Tot slot is er de situatie waarin organisaties vrijwillig een DPO aanstellen, bijvoorbeeld omdat ze veel persoonsgegevens van personeel verwerken, ook al is die aanstelling van een DPO wettelijk niet verplicht. In zulke gevallen zal er mogelijk geen registerplicht gelden. Op basis van voorgaande wordt sterk aanbevolen om toch een register van verwerkingsactiviteiten op te stellen. Zonder dat overzicht kan het werk van de DPO namelijk aanzienlijk worden bemoeilijkt.

Verantwoordingsplicht enkel voor verwerkingen met hoog risico?

Op het eerste gezicht lijkt er dus weinig impact te zijn van de voorgestelde vereenvoudiging op het werk van de DPO, met enkele uitzonderingen in het achterhoofd. De voorgestelde vereenvoudiging, waarbij een administratieve verplichting, op basis van het aantal werknemers, enkel nog zal gelden voor hoog risicoverwerkingen, stemt wel tot nadenken.

Vooreerst is een veel gehoorde kritiek dat het aantal medewerkers geen maatstaf is voor het risico dat een verwerking met zich kan meebrengen. Verder kan je opmerken dat heel wat administratieve verplichtingen (waaronder het opstellen van een register) in de GDPR kunnen gezien worden als een zorgvuldigheidsmaatregel die, wanneer goed beheerd, automatisch voor bescherming zorgt voor de betrokkene (in geval van het register een goed overzicht geeft van de verwerkingen).

Het uithollen van deze best practices wordt door critici gezien als een afbrokkeling van het recht op gegevensbescherming. Al zullen voorstanders van deze ‘versoepeling’ ook argumenteren dat een wetgever enkel de grenzen moet afbakenen en zich niet moet bezighouden met het opleggen van best practices.

Wat nog niet is aangetoond, is of de beoogde versoepeling daadwerkelijk (dus in praktijk) kleine en middelgrote bedrijven zal ontlasten. In de wandelgangen hoor je immers vaker dat deze organisaties vaker niet dan wel over het wettelijk verplichte register beschikken. Om conformiteit af te dwingen, zijn niet enkel regels, maar ook scherp toezicht nodig.

Datum
29.05.2025

Laatste nieuws

Terugblik op het Privacy Café: gesprekken over samenwerking, certificering en cookies
Terugblik op het Privacy Café: gesprekken over samenwerking, certificering en cookies
default-image
CPDP 2025: De eerste DPO-track ooit zet een nieuwe standaard voor privacyleiderschap
default-image
CPDP lanceert de allereerste DPO-track
default-image
GDPR-audits: de basis voor AI Act Compliance

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Schrijf je in