Ga verder naar de inhoud
Startpagina

EU versoepelt GDPR-re­gis­ter­plicht voor middelgrote on­der­ne­min­gen

donderdag 22 mei 2025

De Europese Commissie wil de administratieve lasten voor middelgrote ondernemingen verlichten. Bedrijven met maximaal 750 werknemers en een jaaromzet tot 150 miljoen euro zouden binnenkort vrijgesteld kunnen worden van de GDPR-registerplicht — tenzij hun gegevensverwerking een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. Met deze aanpassing mikt de Commissie op een jaarlijkse besparing van 400 miljoen euro voor zogeheten small midcaps

De vrijstelling bestond al voor KMO’s, maar zou nu dus ook gelden voor deze grotere bedrijven.

Auteur

Arthur Ockerman

Jurist studiedienst
Arthur Ockerman
GDPR

Deel dit artikel

GDPR-re­gis­ter­plicht: uit­zon­de­ring uitgebreid naar grotere on­der­ne­min­gen

De Europese Commissie wil zogeheten small midcaps – ondernemingen met maximaal 750 werknemers en een jaaromzet tot 150 miljoen eurovrijstellen van de verplichting om een verwerkingsregister bij te houden zoals bedoeld in artikel 30 van de GDPR.

De uitzondering op deze administratieve verplichting bestond al voor kmo’s (artikel 30, lid 5) en wordt nu dus uitgebreid.

Uit­zon­de­ring geldt niet bij hoog risico

De vrijstelling is niet van toepassing wanneer de gegevensverwerking een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen.

De Gegevensbeschermingsautoriteit interpreteert dit risico strikt. Ditzelfde criterium wordt ook gebruikt om te bepalen of een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is bij een nieuwe verwerking. Lees daarover deze guidelines.

Volgens de GDPR is dat onder meer het geval bij een grootschalige verwerking van bijzondere categorieën van persoonsgegevens (zoals gezondheidsgegevens) of van strafrechtelijke gegevens. Het valt nog af te wachten of het criterium voor deze uitzondering op dezelfde manier geïnterpreteerd zal worden.

Wat betekent dit voor advocaten?

Voor advocatenkantoren die op grootschalige wijze gevoelige gegevens verwerken, blijft de verplichting om een verwerkingsregister bij te houden waarschijnlijk gelden.

Kantoren die bijvoorbeeld structureel dossiers beheren met medische of strafrechtelijke gegevens vallen dus wellicht nog steeds onder de registerplicht.

Voor een individuele advocaat geldt de verplichting niet, tenzij hij op relatief grote schaal gevoelige gegevens verwerkt. Denk bijvoorbeeld aan een arbeidsrechtadvocaat met honderden dossiers met medische informatie.

Deze beoordeling moet casus per casus gebeuren.

Register blijft nuttig, ook zonder ver­plich­ting

Hoewel de administratieve vereenvoudiging door veel specialisten positief wordt onthaald, is de relevantie in de praktijk beperkt.

Zelfs zonder verplichting blijft het opstellen van een privacyverklaring verplicht. En daarvoor is een verwerkingsregister bijna onmisbaar, of op zijn minst zeer nuttig. Het dwingt u immers om uw gegevensverwerkingen grondig in kaart te brengen:

  • Welke persoonsgegevens verwerkt u?

  • Van wie zijn deze gegevens?

  • Waarom verwerkt u ze?

  • Aan wie geeft u ze door?

  • In welke landen worden ze verwerkt?

  • Hoe lang bewaart u ze?

  • Hoe beveiligt u ze?

Deze oefening helpt u om inzicht en controle te krijgen over uw verwerkingen en maakt het opstellen van een correcte privacyverklaring een stuk eenvoudiger.

Lees onze fiche daarover

Standpunt van de OVB

We zijn voorstander van het schrappen van overbodige verplichtingen, maar wijzen erop dat het bijhouden van een register in veel gevallen blijft aangewezen. Het vormt een essentiële stap in het naleven van de GDPR en draagt bij aan een doordachte en transparante gegevensverwerking.

Lees alles over GDPR in onze GDPR-wijzer

GDPR-wijzer

De GDPR-wijzer is een volledige toolkit voor u als advocaat over de praktische implementatie van de GDPR. Elk onderwerp bestaat uit een beknopte toelichting, concrete to do’s, praktische modellen en antwoorden op uw veelgestelde vragen.

Meer lezen

Ook interessant

GDPR
donderdag 28 november 2024

GDPR-roadshow: praktijkgerichte infosessies voor advocaten

Na het succes van de sessie FAQ GDPR tijdens het OVB Congres 2024 organiseren we, in samenwerking met onze Commissie GDPR, een GDPR-roadshow. Deze interactieve sessies zijn bedoeld om u te informeren over essentiële GDPR-thema’s en een dialoog aan te gaan over de praktische toepassing van deze regels binnen de advocatuur.

Meer lezen
GDPR Kantoororganisatie Witwaspreventie
donderdag 20 juni 2024

Nu ook een modelovereenkomst en informatieformulieren voor advocaten en cliënten (niet-consumenten)

We introduceren niet alleen een modelovereenkomst tussen de advocaat en de private cliënt (consument), maar ook een modelovereenkomst voor de samenwerking met de cliënt (niet-consument). Daarnaast bieden we u diverse formulieren aan die specifiek zijn ontworpen om te voldoen aan uw informatieverplichtingen.

Meer lezen