Ga verder naar de inhoud
Startpagina

EU versoepelt GDPR-re­gis­ter­plicht voor middelgrote on­der­ne­min­gen

donderdag 22 mei 2025

De Europese Commissie wil de administratieve lasten voor middelgrote ondernemingen verlichten. Bedrijven met maximaal 750 werknemers en een jaaromzet tot 150 miljoen euro zouden binnenkort vrijgesteld kunnen worden van de GDPR-registerplicht — tenzij hun gegevensverwerking een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. Met deze aanpassing mikt de Commissie op een jaarlijkse besparing van 400 miljoen euro voor zogeheten small midcaps

De vrijstelling bestond al voor KMO’s, maar zou nu dus ook gelden voor deze grotere bedrijven.

Auteur

Arthur Ockerman

Jurist studiedienst
Arthur Ockerman 04
GDPR

Deel dit artikel

GDPR-re­gis­ter­plicht: uit­zon­de­ring uitgebreid naar grotere on­der­ne­min­gen

De Europese Commissie wil zogeheten small midcaps – ondernemingen met maximaal 750 werknemers en een jaaromzet tot 150 miljoen eurovrijstellen van de verplichting om een verwerkingsregister bij te houden zoals bedoeld in artikel 30 van de GDPR.

De uitzondering op deze administratieve verplichting bestond al voor kmo’s (artikel 30, lid 5) en wordt nu dus uitgebreid.

Uit­zon­de­ring geldt niet bij hoog risico

De vrijstelling is niet van toepassing wanneer de gegevensverwerking een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen.

De Gegevensbeschermingsautoriteit interpreteert dit risico strikt. Ditzelfde criterium wordt ook gebruikt om te bepalen of een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is bij een nieuwe verwerking. Lees daarover deze guidelines.

Volgens de GDPR is dat onder meer het geval bij een grootschalige verwerking van bijzondere categorieën van persoonsgegevens (zoals gezondheidsgegevens) of van strafrechtelijke gegevens. Het valt nog af te wachten of het criterium voor deze uitzondering op dezelfde manier geïnterpreteerd zal worden.

Wat betekent dit voor advocaten?

Voor advocatenkantoren die op grootschalige wijze gevoelige gegevens verwerken, blijft de verplichting om een verwerkingsregister bij te houden waarschijnlijk gelden.

Kantoren die bijvoorbeeld structureel dossiers beheren met medische of strafrechtelijke gegevens vallen dus wellicht nog steeds onder de registerplicht.

Voor een individuele advocaat geldt de verplichting niet, tenzij hij op relatief grote schaal gevoelige gegevens verwerkt. Denk bijvoorbeeld aan een arbeidsrechtadvocaat met honderden dossiers met medische informatie.

Deze beoordeling moet casus per casus gebeuren.

Register blijft nuttig, ook zonder ver­plich­ting

Hoewel de administratieve vereenvoudiging door veel specialisten positief wordt onthaald, is de relevantie in de praktijk beperkt.

Zelfs zonder verplichting blijft het opstellen van een privacyverklaring verplicht. En daarvoor is een verwerkingsregister bijna onmisbaar, of op zijn minst zeer nuttig. Het dwingt u immers om uw gegevensverwerkingen grondig in kaart te brengen:

  • Welke persoonsgegevens verwerkt u?

  • Van wie zijn deze gegevens?

  • Waarom verwerkt u ze?

  • Aan wie geeft u ze door?

  • In welke landen worden ze verwerkt?

  • Hoe lang bewaart u ze?

  • Hoe beveiligt u ze?

Deze oefening helpt u om inzicht en controle te krijgen over uw verwerkingen en maakt het opstellen van een correcte privacyverklaring een stuk eenvoudiger.

Lees onze fiche daarover

Standpunt van de OVB

We zijn voorstander van het schrappen van overbodige verplichtingen, maar wijzen erop dat het bijhouden van een register in veel gevallen blijft aangewezen. Het vormt een essentiële stap in het naleven van de GDPR en draagt bij aan een doordachte en transparante gegevensverwerking.

Lees alles over GDPR in onze GDPR-wijzer

GDPR-wijzer

De GDPR-wijzer is een volledige toolkit voor u als advocaat over de praktische implementatie van de GDPR. Elk onderwerp bestaat uit een beknopte toelichting, concrete to do’s, praktische modellen en antwoorden op uw veelgestelde vragen.

Meer lezen

Ook interessant

GDPR
vrijdag 29 mei 2026

GBA beboet advocatenkantoor voor gebrek aan transparantie en inzagerecht

In een recente beslissing van 8 mei 2026 maakt de Geschillenkamer van de GBA duidelijk dat ook advocatenkantoren de AVG strikt moeten naleven. Het beroepsgeheim of een lopend ereloonconflict kan niet ingeroepen worden om de proactieve informatieplicht naast zich neer te leggen of een rechtmatig inzageverzoek te blokkeren.

Meer lezen
GDPR
woensdag 08 april 2026

Tweede editie GDPR-roadshow: praktijkgerichte inzichten voor advocaten

Na het succes van de GDPR-roadshows in 2024 organiseert onze Commissie GDPR dit jaar een tweede editie. Deze interactieve sessies bij elke lokale balie bieden u een update over de belangrijkste ontwikkelingen op het vlak van GDPR en de opmars van artificiële intelligentie (AI).

Meer lezen