Melding gegevensverwerking niet meer verplicht

Organisaties die persoonsgegevens verwerken, hoeven dit niet meer op voorhand te melden bij de Autoriteit Persoonsgegevens. De meldplicht bij verwerking geldt enkel nog bij risicovolle verwerkingen.

Tot voor kort waren organisaties altijd verplicht een melding te maken wanneer zij persoonsgegevens verwerken. Dat zorgde voor een enorme administratie last en bovendien voor een groot aantal meldingen bij de Autoriteit Persoonsgegevens. Deze hele situatie leverde voor alle betrokkenen vooral veel extra werk, zonder dat het de privacy van de betrokkenen ten goede kwam.

Nu is de melding enkel verplicht wanneer de verwerking mogelijk grote risico’s met zich meebrengt en de Functionaris Gegevensbescherming op basis van de in die gevallen verplichte DPIA (Data Protection Impact Assessment) geen uitsluitsel kan geven over het risiconiveau en eventuele passende maatregelen om de privacy te beschermen.

Bij gevoelige verwerkingen is altijd een uitsluitingsgrond nodig om deze verwerking toch te laten plaatsvinden. Zonder zo’n uitsluitingsgrond is een risicovolle verwerking überhaupt verboden.

De meldplicht datalekken blijft overigens wel intact. U moet dus nog altijd wanneer een (ernstig) datalek zich voordoet, hiervan een melding maken bij de Autoriteit Persoonsgegevens. We spreken van een ernstig lek wanneer er grote privacyschade is ontstaan of het lek direct nadelige gevolgen heeft voor de direct betrokkenen.

Autoriteit Persoonsgegevens