AVG (deel 3): Verwerkingsregister

In de vorige blog hebben wij de verschillende beginselen en grondslagen van gegevensverwerking besproken. Heb je de beginselen goed toegepast en voor iedere verwerking de bijbehorende grondslag bepaald, dan wordt het tijd deze verwerkingen op te nemen in het verwerkingsregister van jouw organisatie.

Waarom eigenlijk?

Je moet als organisatie aan kunnen tonen dat je voldoet aan de verplichtingen uit de AVG. Dit wordt de verantwoordingsplicht genoemd en is opgenomen in art. 5 lid 2 AVG. Goed privacy management, waar het verwerkingsregister onderdeel van is, helpt daarbij. Bijna iedere verwerkingsverantwoordelijke moet zo’n register bijhouden. Hierin staan alle verwerkingen van persoonsgegevens waar de organisatie verantwoordelijk voor is, hoe de klein de verwerking ook is.

Uitzondering

Organisaties die minder dan 250 personen in dienst hebben, zijn in beginsel uitgezonderd van het opstellen van een register. Deze uitzondering vervalt wanneer:

• De verwerking een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, of;
• De verwerking niet incidenteel is. De Autoriteit Persoonsgegevens (AP) geeft overigens aan dat hier in praktijk bijna nooit sprake van is, of;
• Bijzondere of strafrechtelijke persoonsgegevens worden verwerkt.

Inhoud van het verwerkingsregister

Je zult dus al snel een verwerkingsregister moeten bijhouden voor jouw organisatie. Dit register is vormvrij, maar moet de in art. 30 AVG opgesomde informatie bevatten. Het gaan dan om:

• de contactgegevens van de organisatie en, indien aangesteld, de contactgegevens van de functionaris voor gegevensbescherming (FG);
• de doeleinden waarvoor je persoonsgegevens verwerkt, eventueel met de bijbehorende grondslag bij iedere verwerking;
• van wie je persoonsgegevens verwerkt (de categorieën betrokkenen), zoals klanten of werknemers;
• wat voor soort persoonsgegevens verwerkt worden (de categorieën persoonsgegevens), zoals NAW-gegevens, e-mailadressen en IP-adressen;
• aan wie persoonsgegevens worden doorgegeven (de categorieën ontvangers), bijvoorbeeld IT-dienstverleners of de salarisadministrateur;
• informatie over doorgifte(n) aan derde landen;
• indien bekend, de beoogde bewaartermijnen;
• welke maatregelen op hoofdlijnen zijn genomen om de persoonsgegevens te beveiligen.

Bovenstaande geldt voor het register van de verwerkingsverantwoordelijke. Een verwerker moet ook een register bijhouden, alleen in een minder uitgebreide vorm.

Praktische tips

• Ken je rol, het register van een verwerkingsverantwoordelijke ziet er anders uit dan het register van een verwerker;
• Het register moet zo actueel mogelijk zijn. Richt hier dus een proces voor in, maar verwacht niet dat het register perfect zal worden, het is een ‘levend’ document;
• Noteer nieuwe verwerkingen zodra je de beginselen en grondslagen bent afgelopen voor deze verwerking, dan kun je het ook niet vergeten;
• De AP mag het register opvragen, houd daar dus rekening mee;

Wil je een verwerkingsregister opstellen, maar weet je niet waar je moet beginnen? Of wil je laten controleren of je huidige register wel voldoet aan de AVG? Onze specialisten kijken graag met je mee.

Juridisch advies is altijd maatwerk. Deze blog bevat algemene informatie. Hoewel het artikel met veel aandacht en zorgvuldigheid is geschreven, is het verstandig om in een voorkomend geval altijd deskundig juridisch advies in te winnen (lees onze disclaimer).