Leverancier met <250 werknemers meent geen verwerkingsregister te moeten opstellen. Klopt dit?

Leverancier met <250 werknemers meent geen verwerkingsregister te moeten opstellen. Klopt dit?

Je vraag

Kort gezegd willen jullie een portal ontwerpen voor jullie leden en dat wordt gehost door jullie leverancier. Alle geregistreerde deelnemers kunnen dat raadplegen. De hoster zegt dat hij geen verwerkingsregister hoeft bij te houden.

Het hostingbedrijf geeft aan dat een verwerkingsregister niet nodig is aangezien zij minder dan 250 medewerkers hebben. Je vraagt je af of dit klopt.

Ons antwoord

Dit klopt niet. Een verwerkingsregister is ook verplicht in het geval je niet-incidenteel (persoons)gegevens verwerkt. Dat is hier het geval. Dat licht ik hieronder toe.

Toelichting

Wanneer er sprake is van meer dan 250 medewerkers, moet er altijd een verwerkingsregister opgesteld worden. Bij minder hoeft het niet.

Info
Maar er is wel een uitzondering: een verwerkingsregister moet ook opgesteld worden indien verwerkingen structureel zijn. Daar is hier sprake van. Omdat het om een ledenadministratie gaat, ben je niet-incidenteel persoonsgegevens aan het verwerken.


Notes

Vervolgstappen voor jou

1. Stuur het hostingsbedrijf een mail, het tekstvoorstel is als volgt:

Beste X,

Het klopt dat wanneer er sprake is van meer dan 250 medewerkers, er een verwerkingsregister opgesteld moet worden.

Maar er is wel een uitzondering: een verwerkingsregister moet ook opgesteld worden indien verwerkingen structureel zijn. Daar is hier sprake van. Omdat het om een ledenadministratie gaat, ben je niet-incidenteel persoonsgegevens aan het verwerken. Dat staat in artikel 30 van de AVG en wordt daarnaast bevestigd op de website van de Autoriteit Persoonsgegevens.

Graag wil ik jullie dan ook verzoeken dit verwerkingsregister per omgaande op te stellen. Indien dit niet wordt gedaan zullen we jullie aansprakelijk stellen voor alle door ons geleden schade.
  
2. Ga na of het verwerkingsregister daadwerkelijk door de hosters opgesteld wordt;
3. Aangezien jullie ook een ledenbestand hebben en daarin persoonsgegevens verwerken dienen jullie ook een verwerkingsregister op te stellen. Ik stuur je bijgaand nog een voorbeeld.