Een verwerkingsregister, dataregister of ROPA? Het wordt te vaak weggezet als “administratieve ballast.” Zeker door kleinere organisaties die het gevoel hebben dat de GDPR hen met regels en verplichtingen heeft overladen. We begrijpen het, meer nog … we wensen elke ondernemer minder administratieve verplichtingen gelinkt aan een kluwen van wetgeving. Maar wat er nu op tafel ligt in Brussel, ter vereenvoudiging van de GDPR wetgeving, is gewoon een slecht idee. Lees je even mee?
De Europese Commissie overweegt om de uitzondering op de registerplicht voor kleine organisaties – vandaag al voorzien in artikel 30.5 GDPR – aanzienlijk uit te breiden. Niet alleen zou de drempel opgetrokken worden tot 750 medewerkers en een omzet onder 750 miljoen euro of een balans onder de 129 miljoen euro (onder de noemer “small mid-cap companies”), ook zouden enkele uitzonderingen die vandaag nog als beschermingsmechanisme fungeren – zoals het criterium van occasionele verwerking of het werken met gevoelige gegevens – versoepeld of geschrapt worden.
De EDPB en EDPS uiten daarover in een gezamenlijke brief hun bedenkingen, al klinken ze voorlopig nog voorzichtig optimistisch. Maar net dát baart zorgen. Want dit gaat over meer dan louter administratieve verlichting.
Het dataregister is geen formaliteit. Het is de hoeksteen van je GDPR beleid
Bij Sirius Legal begeleiden we al jaren ondernemingen bij het opstellen en onderhouden van hun verwerkingsregister (ROPA). Wie denkt dat dat enkel een lijstje is met wat gegevenscategorieën en systemen, heeft het mis. Een goed register is geen verplicht nummertje, het is een spiegel. Het dwingt je om na te denken over wat je organisatie precies doet met persoonsgegevens. Waarom je die gegevens verzamelt, hoelang je ze bewaart, met wie je ze deelt, onder welke grondslag en met welke contractuele basis.
Voor veel van onze cliënten is die oefening een leerschool. Niet zelden wordt het opstellen van het register een katalysator voor bredere vragen rond dataminimalisatie, retentiebeleid, transparantie en contractuele duidelijkheid. Het dataregister is dus niet alleen een juridisch document, het is een intern governance-instrument. Schrappen we dat, dan schrappen we net de kapstok waaraan de rest van het databeleid hangt.
Minder verplichting = minder urgentie
Het argument van “minder rompslomp voor kleine bedrijven” klinkt sympathiek, maar het dreigt een vals gevoel van veiligheid te creëren. In de praktijk zijn het net de KMO’s en midcaps die vaak worstelen met onvolledige compliance. Niet omdat ze onwillig zijn, maar omdat ze de urgentie of structuur missen om ermee aan de slag te gaan.
Een duidelijke, verplichte registerplicht helpt daarbij. Het zet organisaties aan om verantwoordelijkheid op te nemen, om kennis op te bouwen en om privacy niet louter als juridische kost, maar als structurele meerwaarde te bekijken. Schrap je dat startpunt, dan valt voor veel bedrijven het hele fundament van hun compliance-inspanningen weg.
Transparantie en verantwoording vergen documentatie
Het schrappen van de registerplicht doet ook afbreuk aan de kernprincipes van de GDPR: accountability, transparantie, en doelbinding. Hoe kan een organisatie aantonen dat zij persoonsgegevens beperkt verwerkt, of dat ze de juiste grondslagen hanteert, als ze dat nergens gestructureerd bijhoudt?
De GDPR vertrekt vanuit het idee dat organisaties zelf verantwoordelijk zijn voor wat ze doen met data – en dat ze dat moeten kunnen aantonen. Dat vereist documentatie. Geen vage herinneringen of mondelinge afspraken, maar concrete, structurele informatie. En dat is exact wat het verwerkingsregister biedt.
Een versoepeling met een prijs
Als dit voorstel werkelijkheid wordt, zullen duizenden bedrijven plots niet langer verplicht zijn om een dataregister bij te houden. Niet omdat ze geen risico’s vormen – want ook kleine organisaties kunnen perfect met gevoelige data werken, profilering toepassen of internationale doorgiftes doen – maar omdat ze onder een arbitraire personeelsgrens blijven.
Dat is niet alleen juridisch wankel, het is ook beleidsmatig kortzichtig. Wie privacy ernstig neemt, weet dat het net bij die organisaties is dat maturiteit gestimuleerd moet worden, niet ontmoedigd.
Vereenvoudigen is goed, maar niet als het ten koste gaat van volwassen databeleid
Ja, GDPR is complex. En ja, administratieve vereenvoudiging is welkom waar mogelijk. Maar het verwerkingsregister schrappen als verplichte basis voor organisaties is niet de oplossing. Het is een symptoombestrijding die op lange termijn meer kwaad dan goed zal doen.
Als we privacy in Europa écht willen verankeren, dan begint dat niet bij het verminderen van verplichtingen. Het begint bij het versterken van inzichten, structuren en verantwoordelijkheden. En net dat doet een goed register. Geen overbodige formaliteit dus, maar een essentiële bouwsteen van elk volwassen privacybeleid.
Tegelijk moeten we realistisch blijven: dit zijn voorlopig maar ideeën. Voorstellen op papier, waar nog maanden, zelfs jaren, overleg en wetgevend werk op volgen. De kans dat dit voorstel snel en integraal wordt omgezet in wetgeving is bijzonder klein. En tot zolang blijft de huidige verplichting gewoon gelden.
Meer nog: een up-to-date dataregister is vandaag het eerste document waarnaar gevraagd wordt bij klachten, inspecties of proactieve controles door de Gegevensbeschermingsautoriteit. Het is een onmisbaar element van je verantwoordingsplicht. En dus ook van je juridische paraatheid.
Of je nu 10 of 250 medewerkers hebt: zorg gewoon dat je dataregister klopt. Je doet het niet voor de overheid, maar voor je eigen werking. En voor het vertrouwen van je klanten, prospecten, medewerkers en partners.
Vragen over GDPR?
Ons team staat graag voor je klaar. Stuur een mailtje naar info@siriuslegal.be of boek een vrijblijvende eerste kennismaking in via de link hiernaast.
