Het opstellen van een verwerkingsregister – deel 1

blank

Tips voor het opstellen van een verwerkingsregister

We hebben alweer een paar jaar te maken met de Algemene verordening gegevensbescherming (AVG). Artikel 30 van de AVG gaat over het ‘register van verwerkingsactiviteiten’.

Maar wat is een verwerkingsregister eigenlijk? Wanneer ben je verplicht om een verwerkingsregister bij te houden? En wat moet je als organisatie dan vastleggen?

De precieze verplichtingen hangen af van de omvang van je organisatie en het type gegevens dat je verwerkt. Een eenduidig antwoord is er dus helaas niet. Maar we kunnen je wél tips en informatie geven.

Wil je hulp bij het opstellen van een verwerkingsregister? Neem dan contact met ons op. Wij stellen een verwerkingsregister op dat precies past bij wat jouw organisatie nodig heeft. En natuurlijk zorgen we ervoor dat je medewerkers het vervolgens zélf kunnen bijhouden.

Wat is een verwerkingsregister?

In een verwerkingsregister staat algemene informatie over de persoonsgegevens die binnen jouw organisatie worden verwerkt, inclusief de reden van verwerking.

Een persoonsgegeven is een gegeven dat te herleiden is naar een individueel persoon. Zoals een naam, adres, geboortedatum, Burgerservicenummer (BSN) of betaalgegevens.

Onder verwerking valt bijvoorbeeld het verzamelen, opslaan of inzien van die gegevens.

Wanneer is een verwerkingsregister verplicht?

Als organisatie met meer dan 250 medewerkers ben je verplicht een verwerkingsregister bij te houden. Hierin moet je alle structurele en incidentele verwerkingen vastleggen.

Heb je een organisatie met minder dan 250 medewerkers? Dan ben je ook verplicht een verwerkingsregister bij te houden als:

  • verwerkingen structureel zijn. Bijvoorbeeld als het gaat om gegevens van je klanten, medewerkers, patiënten etc.
  • je persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de persoonsgegevens die je verwerkt. Bijvoorbeeld wanneer je je medewerkers monitort.
  • je bijzondere persoonsgegevens gebruikt. Dit geldt bijvoorbeeld voor gegevens over godsdienst, gezondheid of strafrechtelijke gegevens.

Als verwerkingsverantwoordelijke (en dat ben je zodra je beslist over het hoe en waarom van de verwerking) moet je dit register (digitaal) ter beschikking kunnen stellen als de toezichthouder – de Autoriteit Persoonsgegevens – daarom vraagt.

Wat moet er in een verwerkingsregister staan?

Je neemt in het register alleen verwerkingen op waarbij persoonsgegevens betrokken zijn. Gaat het om een verwerking zonder persoonsgegevens (bijvoorbeeld het vastleggen van de voorraad op een bepaalde locatie), dan hoeft dat dus niet.

Er is niet wettelijk vastgelegd hoe een verwerkingsregister eruit moet zien. Dat kun je als organisatie dus zelf bepalen. Wel moet je hierin ten minste de volgende gegevens opnemen:

Naam en contactgegevens

De naam en contactgegevens van je eigen organisatie en die van eventuele andere organisaties met wie je gezamenlijk de doelen en middelen (dus: het waarom en hoe) hebt vastgelegd.

Ook de naam en contactgegevens van de functionaris gegevensbescherming (FG) als je die hebt aangesteld en eventuele internationale organisaties waarmee je persoonsgegevens deelt (‘verwerkers’) moet je vermelden. Zeker als je de gegevens deelt met een land of internationale organisatie buiten de EU.

Doeleinden

Hiermee worden de verwerkingsdoeleinden bedoeld: de doelen waarvoor je de persoonsgegevens verwerkt. Bijvoorbeeld om de salarisadministratie van je medewerkers te kunnen uitvoeren.

Betrokkenen

Een beschrijving van de categorieën betrokkenen van wie je de persoonsgegevens verwerkt. Bijvoorbeeld medewerkers, klanten en/of leveranciers.

Persoonsgegevens

Een beschrijving van de persoonsgegevens die je verwerkt. Bijvoorbeeld naam, adres, telefoonnummer, BSN, foto of ander beeldmateriaal, of geluidsopnames.

Let op: je zet in het verwerkingsregister zelf geen persoonsgegevens. Die bewaar je in de systemen waarin de persoonsgegevens al zitten (dus bijvoorbeeld het mailingprogramma met je e-maildatabase). Je kunt in het register wel de applicatienaam opnemen waarin de persoonsgegevens staan. Zo weet je eenvoudig waar je de gegevens kunt vinden.

Ontvangers

De categorieën van ontvangers (waaronder verwerkers) aan wie je de persoonsgegevens verstrekt. Bijvoorbeeld de Belastingdienst in het kader van je salarisadministratie.

Buiten de EU

Landen of internationale organisaties buiten de EU met wie je gegevens deelt.

Tip: registreer ook subverwerkers – dit is informatie die je nog wel eens nodig kunt hebben.

Bewaartermijn

De beoogde bewaartermijn: dit is de datum waarop je de opgeslagen persoonsgegevens moet wissen.

Tip: stel een bewaarbeleid op om helder te maken wat er wanneer gewist moet worden.

Beveiliging

Een algemene beschrijving van de door jou getroffen technische en organisatorische beveiligingsmaatregelen.

Onder technische maatregelen verstaan we bijvoorbeeld de pseudonimisering en versleuteling van persoonsgegevens.

Organisatorische maatregelen zijn bijvoorbeeld de maatregelen zoals interne autorisatie. Hierbij hebben alleen die medewerkers toegang tot bepaalde persoonsgegevens, die dit voor de uitvoering van hun werk nodig hebben. Zoals bepaalde functionarissen of administratief medewerkers bij HR.

Zelf een verwerkingsregister opstellen

Wil je zelf een verwerkingsregister opzetten? Met Excel of SharePoint kom je vaak een heel eind. Schakel ons gerust in om je snel en goed op weg te helpen.

Is er sprake van een grote organisatie of veel (soorten) gegevens? Er zijn verschillende tools op de markt die ook complexere digitale verwerkingsregisters ondersteunen.

Mogen wij je ontzorgen?

Als Privacycoaches adviseren we je graag. Want met een goed opgezet verwerkingsregister voldoe je niet alleen aan een wettelijke verplichting; het biedt ook optimaal inzicht in al je verwerkingen. Zo heb je de privacyrisico’s voor jouw organisatie altijd in beeld.

Lees hier deel 2 van deze serie over het verwerkingsregister. 

Benieuwd wat Privacycoaches
voor jou kan doen?

blank

Start typing and press Enter to search