Bedrijven hoeven verwerking van persoonsgegevens niet meer te melden

Organisaties hoeven sinds 6 november 2017 verwerkingen van persoonsgegevens niet langer te melden bij de Autoriteit Persoonsgegevens (AP). De handhaving van deze meldplicht wordt opgeschort.

Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing. De meldplicht voor het verwerken van persoonsgegevens vervalt in de AVG. De AP loopt vooruit op deze invoering en schort nu alvast de handhaving van de meldplicht op. Het blijft echter wel mogelijk tot 25 mei 2018 melding te maken van verwerking van persoonsgegevens.

Gegevensverwerkingen met een ‘bepaald risico’

Overigens moeten bedrijven wel nog steeds melding maken van gegevensverwerkingen met een ‘bepaald risico’. Deze melding moet vooraf aan de verwerking worden gedaan, waarna de AP een voorafgaand onderzoek naar die gegevensverwerking uitvoert waarin wordt gecontroleerd of de verwerking aan de Wet bescherming persoonsgegevens voldoet. Zodra de AP de verwerking heeft goedgekeurd, mag het bedrijf hiermee van start gaan.

Na 25 mei 2018 zijn bedrijven verplicht een data protection impact assessment (DPIA) indien een verwerking mogelijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Indien uit de DPIA blijkt dat de verwerking inderdaad een hoog risico oplevert, moet een organisatie maatregelen nemen om dit risico te beperken. Indien dit niet mogelijk is moet de verwerking eerst worden voorgelegd aan de AP voordat de verwerking van start mag gaan.