Wat moet er in een verwerkingsregister staan?

Antwoord

In de Algemene verordening gegevensbescherming (AVG) staat een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht (accountability) voldoet.

Eén van deze verplichte maatregelen betreft het bijhouden van een register van verwerkingsactiviteiten (art. 30 AVG: verwerkingsregister). Het opstellen van een verwerkingsregister is onder de AVG vaak een verplichte maatregel. Of u een verwerkingsregister moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt.

Heeft uw organisatie meer dan 250 medewerkers? Dan bent u verplicht om een verwerkingsregister bij te houden.

Heeft uw organisatie minder dan 250 medewerkers? Dan moet u over een verwerkingsregister beschikken als een of meer van de volgende situaties op u van toepassing is:

  • De verwerking van persoonsgegevens is niet incidenteel.
    In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners.
  • U verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.
  • U verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens. Bijvoorbeeld gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

Wat moet er in een verwerkingsregister staan?

Is uw organisatie een verwerkingsverantwoordelijke? Dan moet het register bestaan uit de volgende onderdelen.

Naam en contactgegevens
De naam en contactgegevens van:

  • uw organisatie of de vertegenwoordiger van uw organisatie;
  • eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld;
  • de functionaris gegevensbescherming (FG), als u die heeft aangesteld;
  • eventuele internationale organisaties waar u persoonsgegevens mee deelt.

Doeleinden
De doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing.

Betrokkenen
Een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten.

Persoonsgegevens
Een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen.

Bewaartermijn
De datum waarop u de gegevens moet wissen.

Ontvangers
De categorieën van ontvangers aan wie u persoonsgegevens verstrekt.

Buiten EU
Deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het verwerkingsregister.

Beveiliging
Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.

Daarnaast is het handig om in het register aanvullende gegevens vast te leggen, zodat het als basis voor de verdere privacy inrichting van de organisatie kan dienen. Dit kan als het register inzicht verschaft in welke persoonsgegevens binnen welke processen en in welke systemen worden verwerkt, met wie deze gegevens worden uitgewisseld en hoe zij zijn beveiligd.

Dit inzicht wordt verkregen door in het register een aantal aanvullende aspecten vast te leggen, zoals:

  1. In welke processen persoonsgegevens worden verwerkt.
  2. Wat voor soort persoonsgegevens dit betreft (regulier, gevoelig, bijzonder).
  3. In welke systemen die gegevens worden verwerkt.

Indien u weet waar, in welke processen en systemen welke data wordt verwerkt, dan weet u ook waar u de beveiliging op moet richten, kan het helpen bij het van bepalen van acties in geval van een datalek en helpt het u om te voldoen aan rechten van betrokkenen.

Is uw organisatie een verwerker?

Indien uw organisatie een verwerker is, dan moet de volgende informatie in uw verwerkingsregister staan:

Naam en contactgegevens
De naam en contactgegevens van:

  • uw organisatie, of de vertegenwoordiger van uw organisatie, of de verwerkingsverantwoordelijke;
  • de functionaris gegevensbescherming (FG), als u die heeft aangesteld.

Verwerkingen
Een beschrijving van de categorieën van verwerkingen die u in opdracht van iedere verantwoordelijke uitvoert.

Internationale doorgifte
Eventuele internationale organisaties waarmee u persoonsgegevens deelt.

Buiten EU
Deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het verwerkingsregister.

Beveiliging
Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.


Terug naar het dossier Verantwoordingsplicht

Datum: 31 december 2019
Bron: PrivacyTeam