Wat je nog meer wilt weten over het verwerkingsregister
In deel 1 van deze serie vertelden we wat een verwerkingsregister is, wanneer het verplicht is en wat er in moet staan. Maar er is meer en dat delen we in deze blog met je!
Waarom een verwerkingsregister?
Het korte antwoord op deze vraag: omdat het verplicht is op grond van de Algemene verordening gegevensbescherming (AVG). Het verwerkingsregister valt onder de verantwoordingsplicht als je persoonsgegevens verwerkt. Je moet verantwoording kunnen afleggen aan degenen van wie jij persoonsgegevens verwerkt, zoals klanten en medewerkers.
Achterliggende gedachte: als je zorgvuldig om wilt gaan met persoonsgegevens, moet je inzicht hebben in wat je doet en met welke gegevens. Zonder dat inzicht is het niet mogelijk om die gegevens veilig te bewaren. En daar is het verwerkingsregister dus voor.
Maar zie het wat ons betreft vooral niet als een eenzijdige verplichting. Als je het verwerkingsregister goed inricht, kun je het ook gebruiken als handig sturingsinstrument. Onze ervaring is dat de meeste ondernemers dat aspect waarderen. Niet alleen een vinkje zetten achter de wettelijke verplichting, maar er zelf ook profijt van hebben.
Krijg je een boete als je geen verwerkingsregister hebt?
Ja, de Autoriteit Persoonsgegevens (AP) kan een boete opleggen als je geen verwerkingsregister hebt, terwijl dat wel zou moeten. Zijn er beveiligingsincidenten? Of klachten over jouw organisatie? Dan is het verwerkingsregister vaak het eerste wat opgevraagd wordt.
Daarnaast kan een organisatie er willekeurig door de AP uit worden gehaald als de betreffende sector wordt getoetst.
De boete is maximaal € 10 miljoen of 2 % van de wereldwijze omzet, afhankelijk van wat het hoogste is. Bij het bepalen van de boete wordt wel rekening gehouden met de mate van schending, of het de eerste keer is, wat voor soort bedrijf het is en of er schade is opgetreden.
Bijhouden: hoe houd je een verwerkingsregister up-to-date?
Verwerkingsregister up and running? Dan adviseren wij om in ieder geval een keer per jaar het register tegen het licht te houden en te kijken of het nog klopt & volledig is. Afhankelijk van de dynamiek binnen de organisatie doe je dit vaker. Bijvoorbeeld bij een wijziging in de organisatie of in processen; denk aan nieuwe marketinginstrumenten waarmee persoonsgegevens worden opgehaald.
Tip: je kunt deze jaarlijkse check aan ons uitbesteden als je er de expertise of tijd niet voor hebt.
Wat is de bewaartermijn?
In het register leg je per verwerkingsactiviteit vast wat de bewaartermijn is. Voor fiscale gegevens geldt bijvoorbeeld een termijn van 7 jaar. Is er geen wettelijke bewaartermijn voor bepaalde gegevens? Bewaar ze dan niet langer dan nodig is. Leg in een bewaarbeleid vast wat je wanneer moet wissen.
Voor het verwerkingsregister zelf bestaat geen bewaartermijn. Maar het is verstandig om oude versies te bewaren. Ons advies: bewaar verwerkingsregisters 5 jaar. Dan kun je bij bijvoorbeeld een incident aan de toezichthouder laten zien dat je het verwerkingsregister onderhoudt en privacy serieus neemt.
Kan ik zelf een verwerkingsregister opstellen?
Is het moeilijk, een verwerkingsregister opzetten? Dat hangt er vanaf hoe goed je je bedrijf kent. Heb je alles in beeld? Dan kan het slechts een paar uur werk zijn. Anders kost het je zeker een paar dagen.
Daarnaast hangt het af van de omvang van het bedrijf. Bij grote organisaties is er vaak een privacy officer die alle kennis van de verschillende afdelingen verzamelt voor het verwerkingsregister.
Kleine organisaties kunnen het prima zelf doen met wat uitleg. Bij Privacycoaches maken we privacywetgeving toegankelijk, en dus ook het zelf opstellen van een verwerkingsregister. Wij zorgen voor een goede basis en uitleg, zodat jij het register verder zelf kunt bijhouden.
Een verwerkingsregister door ons laten opstellen
Geen tijd en/of expertise voor het opzetten van een verwerkingsregister? Laat ons het voor je doen! Wij zorgen voor een goede template en halen input op bij de verschillende afdelingen. Dat doen we met laagdrempelige interviews zodat we zeker weten dat we alle informatie hebben.
Met het door ons opgestelde verwerkingsregister (incl. toelichting) kan jouw organisatie er verder mee aan de slag. De jaarlijkse check kunnen jullie voortaan zelf doen. Of je laat dat aan ons over, dat mag natuurlijk ook.
Oh, en hadden we al gezegd dat je er óók een handig sturingsinstrument van kunt maken? In het verwerkingsregister voegen wij voor ondernemers vaak naast het verplichte stuk, ook een deel toe dat handig is voor de organisatie zelf. Als je toch bezig bent 😉
Met deze toevoeging kun je snel schakelen wanneer dat nodig is. Bijvoorbeeld als er een incident is geweest zoals een datalek. Of als een klant een vraag stelt over zijn persoonsgegevens.
Wil je weten wat wij voor jou kunnen betekenen op dit gebied? Neem contact met ons op en we spreken je snel!