{"id":17475,"date":"2025-05-29T13:39:26","date_gmt":"2025-05-29T11:39:26","guid":{"rendered":"https:\/\/www.dp-institute.eu\/?p=17475"},"modified":"2025-06-18T16:13:10","modified_gmt":"2025-06-18T14:13:10","slug":"gdpr-vereenvoudiging-dpo","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/nl\/gdpr-vereenvoudiging-dpo\/","title":{"rendered":"Vereenvoudiging van GDPR \u2013 impact voor de DPO?"},"content":{"rendered":"
Op 21 mei 2025 publiceerde de Europese Commissie een voorstel tot wijziging van de Algemene Verordening Gegevensbescherming (GDPR)<\/a>. Dit voorstel maakt deel uit van een “Omnibus package” dat bedoeld is om Europese regelgeving te vereenvoudigen en zo de veerkracht van kleine en middelgrote organisaties te vergroten. De focus ligt daarbij op het verminderen van administratieve lasten als gevolg van overregulering.<\/p>\n Een belangrijk onderdeel van deze vereenvoudiging betreft onder andere het register van verwerkingsactiviteiten. Dit register verplicht organisaties om alle verwerkingen van persoonsgegevens systematisch te documenteren. In de onderstaande analyse bekijken we welke impact de voorgestelde wijzigingen kunnen hebben op het werk van de DPO.<\/p>\n Om administratieve overlast te beperken, voorziet de huidige GDPR-tekst in een uitzondering op de verplichting om een register van verwerkingsactiviteiten bij te houden voor organisaties met minder dan 250 medewerkers. Zij zijn niet verplicht een register op te stellen, tenzij aan minstens \u00e9\u00e9n van de volgende drie voorwaarden is voldaan:<\/p>\n Aangezien het volstaat dat slechts \u00e9\u00e9n van deze voorwaarden van toepassing is om alsnog een register voor\u00a0alle <\/strong>verwerkingen verplicht te maken, blijkt deze uitzondering in de praktijk zelden van toepassing. Al blijft bij de interpretatie van deze regels de twijfel bestaan of er in deze gevallen \u00fcberhaupt geen registerplicht is, dan wel dat het register van verwerkingsactiviteiten in kleine organisaties zich beperkt tot de in artikel 30.5 opgesomde set verwerkingen (zie FAQ<\/a> EDPB daarover en de publicatie<\/a> van de Artikel 29-werkgroep (WP29)).<\/p>\n In de eerste plaats wil de Commissie met haar voorstel bereiken dat ook middelgrote ondernemingen kunnen profiteren van de beoogde versoepelingen. Daartoe stelt zij voor om een definitie in te voeren van\u00a0small mid-cap enterprises (SMCs)<\/strong>: organisaties met maximaal 750 medewerkers.<\/p>\n Daarnaast stelt de Commissie voor om de drie voorwaarden die momenteel bepalen of een verwerkingsregister verplicht is, te versoepelen. Door deze aanpassing zal in de praktijk vermoedelijk minder vaak een register nodig zijn.<\/p>\n Voortaan zal een register enkel nog verplicht zijn voor ondernemingen of organisaties die<\/p>\n Kort gezegd: ben je een organisatie met minder dan 750 medewerkers, dan hoef je straks enkel nog een register van verwerkingsactiviteiten bij te houden\u00a0als je verwerkingen uitvoert die een hoog risico inhouden<\/strong>, en\u00a0die geen verband houden met wettelijke verwerkingen voor personeelsbeheer<\/strong>.<\/p>\n Merk op dat de vrijstelling geldt voor ‘ondernemingen of organisaties<\/em>‘. De vraag stelt zich wat men met deze laatste categorie bedoelt. Zijn overheidsinstellingen ook organisaties? Uit de context van het Omnibus pakket, zouden we kunnen stellen dat men enkel organisaties bedoelt die een commercieel oogmerk hebben.<\/p>\n De Commissie verwijst immers naar definities van “SME\/SMC-enterprises”, wat betrekking heeft op organisaties met een economische activiteit. Gezien we ervan uitgaan dat op het punt van administratieve verplichtingen overheden weinig uitsluitingen kennen (zie ook verder: de aanstellingscriteria voor een DPO), gaan we er in dit artikel van uit dat overheden niet onder de vrijstelling vallen.<\/p>\n Waarvoor heeft de DPO een register nodig?<\/p>\n Een actueel en volledig register van verwerkingsactiviteiten vormt de basis voor een doeltreffende toezichtstaak van de Data Protection Officer (DPO). Met een goed ingevuld register kan de DPO niet alleen beter informeren over de geldende verplichtingen, maar ook gerichter adviseren en controleren.<\/p>\n Zonder een duidelijk overzicht van welke verwerkingen binnen de organisatie plaatsvinden, ontbreekt voor de DPO het noodzakelijke vertrekpunt om te beoordelen of de regels uit de AVG worden nageleefd.<\/p>\n Het register is dus veel meer dan een administratieve verplichting: het is een strategisch instrument dat de DPO in staat stelt risico\u2019s te identificeren, prioriteiten te bepalen en gerichte controles uit te voeren.<\/p>\nHet register van verwerkingsactiviteiten zoals vandaag vastgelegd<\/h2>\n
\n
Wat staat in het recente voorstel van de Commissie?<\/h2>\n
\n
\n