In artikel 30 van de AVG is opgenomen onder welke voorwaarden een register van verwerkingen vereist is en wat daarin moet staan. Aanvankelijk leek het erop dat alleen grotere organisaties (250 medewerkers of meer) een verwerkingsregister nodig hadden, maar na interpretatie van artikel 30 AVG is men daarop teruggekomen. Het uitgangspunt is dat u een register van verwerkingen dient te hebben waarin alle “niet incidentele verwerkingen” (lees: alle verwerkingen met een structureel karakter) moeten worden opgenomen. In de praktijk blijkt echter dat vrijwel alle verwerkingen die u doet als structureel worden gezien. Ergo: u moet vrijwel al uw verwerkingen opnemen in het verwerkingsregister.
De uitzondering voor de “niet-incidentele verwerkingen” ziet met name op zaken zoals incidenteel georganiseerde prijsvragen. Ook als u bijzondere persoonsgegevens verwerkt, of gegevens die een hoog risico inhouden voor de rechten en vrijheden van betrokkenen, moet u deze verwerkingen opnemen in een verwerkingsregister.
In het register van verwerkingen neemt u alle verwerkingen op die u voor uw eigen organisatie uitvoert. Daarnaast moet u ook de verwerkingen die u voor een andere organisatie uitvoert (als verwerker of als verantwoordelijke) in het register opnemen.
De AVG schrijft niet voor welke vorm het verwerkingsregister moet hebben. Wel is voorgeschreven welke informatie het register in ieder geval moet bevatten.
Als u verantwoordelijke bent voor een gegevensverwerking zijn dit:
- naam en contactgegevens van de verwerkingsverantwoordelijke;
- indien van toepassing: de gegevens van de Functionaris Gegevensbescherming en/of de vertegenwoordiger van de verantwoordelijke;
- het doel van de betreffende verwerking;
- een beschrijving van de categorieën persoonsgegevens en betrokkenen;
- een omschrijving van de derden aan wie de persoonsgegevens zullen worden verstrekt;
- indien van toepassing: vermelding van de landen buiten de EER of internationale organisaties aan welke persoonsgegevens worden doorgegeven met daarbij de (passende) waarborgen die getroffen zijn;
- (indien mogelijk) de beoogde bewaar- of vernietigingstermijn;
- (indien mogelijk) een algemene beschrijving van technische en organisatorische beveiligingsmaatregelen.
Als u verwerker bent van bepaalde gegevens dan dient de volgende informatie in het register te zijn opgenomen:
- naam en contactgegevens van de verwerker en van de verwerkingsverantwoordelijke en de eventuele Functionaris Gegevensbescherming (FG) van de verwerkingsverantwoordelijke;
- de categorieën van verwerkingen;
- indien van toepassing: vermelding van de landen buiten de EER of internationale organisaties aan welke persoonsgegevens worden doorgegeven met daarbij de (passende) waarborgen die getroffen zijn;
- (indien mogelijk) een algemene beschrijving van technische en organisatorische beveiligingsmaatregelen.
Daarnaast beveelt de Autoriteit Persoonsgegevens aan om ook de locatie of de naam van het bestand waarin de persoonsgegevens zijn opgeslagen op te nemen.
Zie voor een nadere toelichting ook ons blog over het verwerkingsregister.
TIP: gebruik het verwerkingsregister actief. Doet u dat niet dan is de kans groot dat het verwerkingsregister na het opstellen daarvan onderin een la ligt te versloffen en snel verouderd. Dat is zonde. Als u uw register van verwerkingen goed inricht en de juiste (extra) data opneemt kunt u er veel mee. U kunt het bijvoorbeeld als startpunt gebruiken bij het afhandelen van datalekken of inzageverzoeken. Het kan uw inzicht in de gegevensstromen vergroten en bevorderen dat de organisatie meer “grip” krijgt op de gegevensverwerkingen. U kunt het register gebruiken als startpunt voor een retentiebeleid (“wanneer gooi ik gegevens weg?”) en bij de inventarisatie van risico’s en het mitigeren daarvan.
Lees ook de andere meest gestelde vragen over Privacy1. Wat is de AVG (Algemene verordening gegevensbescherming)?
2. Wat moet ik concreet doen onder de AVG?
3. Wat is een verwerker? En wat is een verwerkingsverantwoordelijke?
4. Is een register van verwerkingen altijd vereist? En wat moet ik in zo’n register opnemen?
5. Is de AVG van toepassing op ZZP-ers?
6. Welke rechten hebben de personen van wie ik gegevens verwerk onder de AVG?
7. Wat zijn persoonsgegevens? En wat zijn bijzondere persoonsgegevens?
8. Wat is een datalek en hoe moet ik een datalek melden?
9. Als ik een datalek meldt, staat de toezichthouder (Autoriteit Persoonsgegevens) dan direct bij me op de stoep?
10. Wat moet ik opnemen in een datalekregister?
Neem contact op