De Autoriteit Persoonsgegevens (AP) is gestart met een verkennend onderzoek om te achterhalen hoe goed grote organisaties de nieuwe Europese privacyregels naleven. Het gaat om een willekeurige steekproef van dertig grote organisaties uit tien private sectoren.

Binnen de betreffende bedrijven onderzoekt de AP of zij een register van verwerkingsactiviteiten bijhouden. Heeft een organisatie een register van verwerkingen en bevat het de juiste informatie? Dan beschouwt de AP dat als een belangrijke eerste stap waarmee een organisatie laat zien dat zij de privacyregels serieus neemt.

Sectoren
De AP voert de steekproef uit bij de volgende tien sectoren: industrie en metaal, waterleidingbedrijf , bouw, handel, horeca, reisorganisatie, communicatie, financiële dienstverlening , zakelijke dienstverlening en zorg. De organisaties zitten verspreid over heel Nederland.

Register van verwerkingen
Sinds 25 mei 2018 geldt de nieuwe Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG). Onderdeel hiervan is dat organisaties in sommige situaties een register van verwerkingen moeten hebben. Het register van verwerkingsactiviteiten bevat informatie over de persoonsgegevens die organisaties verwerken en het doel waarvoor zij de persoonsgegevens verwerken.

Verplicht
Organisaties zijn verplicht het register te verstrekken als de AP hen daar om vraagt. Het register is verplicht voor alle organisaties met meer dan 250 medewerkers. Kleinere organisaties moeten een register van verwerkingen hebben als zij voldoen aan minimaal één van de volgende criteria:

• zij verwerken structureel gegevens, bijvoorbeeld gegevens over hun werknemers,
• zij verwerken gegevens met een hoog risico voor de rechten en vrijheden van betrokken personen,
• zij verwerken bijzondere persoonsgegevens, zoals gegevens over godsdienst of gezondheid.