Menu

Filter op
content
PONT Data&Privacy
  • PONT home
    • molen

    0

    AVG| Verantwoordingsplicht
    De verantwoordingsplicht in de Algemene Verordening Gegevensbescherming is een belangrijk onderdeel dat in de bedrijfsvoering van een organisatie moet worden geborgd.

    Wat moet er in een verwerkingsregister staan?

    Sander van de Molen
     31 dec 2019

    Vraag & Antwoord

    ANTWOORD

    In de Algemene verordening gegevensbescherming (AVG) staat een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht (accountability) voldoet.

    Eén van deze verplichte maatregelen betreft het bijhouden van een register van verwerkingsactiviteiten (art. 30 AVG: verwerkingsregister). Het opstellen van een verwerkingsregister is onder de AVG vaak een verplichte maatregel. Of u een verwerkingsregister moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt.

    Heeft uw organisatie meer dan 250 medewerkers? Dan bent u verplicht om een verwerkingsregister bij te houden.

    Heeft uw organisatie minder dan 250 medewerkers? Dan moet u over een verwerkingsregister beschikken als een of meer van de volgende situaties op u van toepassing is:

    • De verwerking van persoonsgegevens is niet incidenteel.
      In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners.

    • U verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.

    • U verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens. Bijvoorbeeld gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

    Wat moet er in een verwerkingsregister staan?

    Is uw organisatie een verwerkingsverantwoordelijke? Dan moet het register bestaan uit de volgende onderdelen.

    Naam en contactgegevens
    De naam en contactgegevens van:

    • uw organisatie of de vertegenwoordiger van uw organisatie;

    • eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld;

    • de functionaris gegevensbescherming (FG), als u die heeft aangesteld;

    • eventuele internationale organisaties waar u persoonsgegevens mee deelt.

    Doeleinden
    De doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing.

    Betrokkenen
    Een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten.

    Persoonsgegevens
    Een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen.

    Bewaartermijn
    De datum waarop u de gegevens moet wissen.

    Ontvangers
    De categorieën van ontvangers aan wie u persoonsgegevens verstrekt.

    Buiten EU
    Deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het verwerkingsregister.

    Beveiliging
    Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.

    Daarnaast is het handig om in het register aanvullende gegevens vast te leggen, zodat het als basis voor de verdere privacy inrichting van de organisatie kan dienen. Dit kan als het register inzicht verschaft in welke persoonsgegevens binnen welke processen en in welke systemen worden verwerkt, met wie deze gegevens worden uitgewisseld en hoe zij zijn beveiligd.

    Dit inzicht wordt verkregen door in het register een aantal aanvullende aspecten vast te leggen, zoals:

    • In welke processen persoonsgegevens worden verwerkt.

    • Wat voor soort persoonsgegevens dit betreft (regulier, gevoelig, bijzonder).

    • In welke systemen die gegevens worden verwerkt.

    Indien u weet waar, in welke processen en systemen welke data wordt verwerkt, dan weet u ook waar u de beveiliging op moet richten, kan het helpen bij het van bepalen van acties in geval van een datalek en helpt het u om te voldoen aan rechten van betrokkenen.

    Is uw organisatie een verwerker?

    Indien uw organisatie een verwerker is, dan moet de volgende informatie in uw verwerkingsregister staan:

    Naam en contactgegevens
    De naam en contactgegevens van:

    • uw organisatie, of de vertegenwoordiger van uw organisatie, of de verwerkingsverantwoordelijke;

    • de functionaris gegevensbescherming (FG), als u die heeft aangesteld.

    Verwerkingen
    Een beschrijving van de categorieën van verwerkingen die u in opdracht van iedere verantwoordelijke uitvoert.

    Internationale doorgifte
    Eventuele internationale organisaties waarmee u persoonsgegevens deelt.

    Buiten EU
    Deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het verwerkingsregister.

    Beveiliging
    Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.

    Terug naar het dossier Verantwoordingsplicht

    IT contracten opstellen en beoordelen: do’s & don’ts

    Wat zijn de belangrijkste aandachtspunten bij het opstellen van een goed IT contract? We gaan ermee aan de slag in deze cursus. Leer onder meer over de vrije contractuitleg, aansprakelijkheid, cloud, AI en E-commerce.

    Bekijk opleiding

    Word lid van PONT | Data & Privacy

  • Toegang tot Kennisbank
  • Lees e-books
  • Contact met vakgenoten
  • Eigen nieuwsoverzicht
    • WORD LID

    Algemeen

    Service

    Navigeer

    Berghauser Pont Mediagroep

    CONTACT

    𝕏

    Copyright 2024 Berghauser Pont | Website gemaakt door Buro Zero