AS4

GDPR: Wat met uw bezoekersregister?

De noodzaak tot het bijhouden van een bezoekersregister spreekt voor zich, u moet namelijk weten wie er allemaal in uw gebouw aanwezig is of aanwezig is geweest. Dit niet alleen om de voedselveiligheid te kunnen garanderen en Food Defense correct te kunnen toepassen maar ook om een eventuele evacuatie correct te kunnen uitvoeren.  Door het van kracht gaan van de nieuwe GDPR wetgeving werd echter de vraag gesteld hoe men in de toekomst met dit bezoekersregister moet omgaan.

30 Mei 2018

De noodzaak tot het bijhouden van een bezoekersregister spreekt voor zich, u moet namelijk weten wie er allemaal in uw gebouw aanwezig is of aanwezig is geweest. Dit niet alleen om de voedselveiligheid te kunnen garanderen en Food Defense correct te kunnen toepassen maar ook om een eventuele evacuatie correct te kunnen uitvoeren.  Door het van kracht gaan van de nieuwe GDPR wetgeving werd echter de vraag gesteld hoe men in de toekomst met dit bezoekersregister moet omgaan.

Zoals u ondertussen wel zal weten is vorige week de Algemene Verordening voor Gegevensbescherming (AVG), of beter bekend onder zijn Engelse afkorting GDPR, van kracht gegaan. AVG is van toepassing op de geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens of de (niet-geautomatiseerde) verwerkingen van gegevens die in een (manueel) bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen. Aangezien een bezoekersregister persoonsgegevens zoals naam en voornaam bevat, kunnen we gemakkelijk concluderen dat AVG van toepassing is. Aangezien dit bezoekersregister vaak onbeschermd  aan de ingang of het secretariaat ligt, wordt dan ook de vraag gesteld hoe dit register beveiligd moet worden.

 

Om een sluitend antwoord te kunnen geven omtrent het bezoekersregister hebben we deze vraag voorgelegd aan de Gegevensbeschermingsautoriteit (de nieuwe Privacy Commissie) zelf. Aangezien in het bezoekersregister chronologisch de persoonsgegevens van de bezoekers manueel worden ingevoerd, was er twijfel of AVG van toepassing was. De Gegevensbeschermingsautoriteit gaf het antwoord dat de beslissing of AVG van toepassing is op uw bezoekersregister, afhankelijk is van wat er nadien met die lijsten gebeurt. Afhankelijk van het antwoord kan dan worden besloten of AVG al dan niet van toepassing is.

 

Als de ingevulde bezoekersregisters gewoon handmatig worden bewaard zonder enige classificatie en enkel op een audit worden vertoond, dan is volgens de Gegevensbeschermingsautoriteit AVG niet van toepassing. Dit is ook het geval wanneer de bezoekersregistratie digitaal gebeurt zolang men nadien de gegevens niet gaat verwerken.

 

AVG is dus enkel van toepassing wanneer u de gegevens van het bezoekersregister nadien gaat classificeren en verder gaat gebruiken voor bezoekersanalyses of communicatie. Als dit voor u  het geval is dan kan u meer informatie en o.a. het dertienstappenplan of ‘Wegwijs in de AVG voor kmo’s’ terugvinden op de website van de Gegevensbeschermingsautoriteit www.gegevensbeschermingsautoriteit.be .

De noodzaak tot het bijhouden van een bezoekersregister spreekt voor zich, u moet namelijk weten wie er allemaal in uw gebouw aanwezig is of aanwezig is geweest. Dit niet alleen om de voedselveiligheid te kunnen garanderen en Food Defense correct te kunnen toepassen maar ook om een eventuele evacuatie correct te kunnen uitvoeren.  Door het van kracht gaan van de nieuwe GDPR wetgeving werd echter de vraag gesteld hoe men in de toekomst met dit bezoekersregister moet omgaan.

Zoals u ondertussen wel zal weten is vorige week de Algemene Verordening voor Gegevensbescherming (AVG), of beter bekend onder zijn Engelse afkorting GDPR, van kracht gegaan. AVG is van toepassing op de geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens of de (niet-geautomatiseerde) verwerkingen van gegevens die in een (manueel) bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen. Aangezien een bezoekersregister persoonsgegevens zoals naam en voornaam bevat, kunnen we gemakkelijk concluderen dat AVG van toepassing is. Aangezien dit bezoekersregister vaak onbeschermd  aan de ingang of het secretariaat ligt, wordt dan ook de vraag gesteld hoe dit register beveiligd moet worden.

 

Om een sluitend antwoord te kunnen geven omtrent het bezoekersregister hebben we deze vraag voorgelegd aan de Gegevensbeschermingsautoriteit (de nieuwe Privacy Commissie) zelf. Aangezien in het bezoekersregister chronologisch de persoonsgegevens van de bezoekers manueel worden ingevoerd, was er twijfel of AVG van toepassing was. De Gegevensbeschermingsautoriteit gaf het antwoord dat de beslissing of AVG van toepassing is op uw bezoekersregister, afhankelijk is van wat er nadien met die lijsten gebeurt. Afhankelijk van het antwoord kan dan worden besloten of AVG al dan niet van toepassing is.

 

Als de ingevulde bezoekersregisters gewoon handmatig worden bewaard zonder enige classificatie en enkel op een audit worden vertoond, dan is volgens de Gegevensbeschermingsautoriteit AVG niet van toepassing. Dit is ook het geval wanneer de bezoekersregistratie digitaal gebeurt zolang men nadien de gegevens niet gaat verwerken.

 

AVG is dus enkel van toepassing wanneer u de gegevens van het bezoekersregister nadien gaat classificeren en verder gaat gebruiken voor bezoekersanalyses of communicatie. Als dit voor u  het geval is dan kan u meer informatie en o.a. het dertienstappenplan of ‘Wegwijs in de AVG voor kmo’s’ terugvinden op de website van de Gegevensbeschermingsautoriteit www.gegevensbeschermingsautoriteit.be .