In Nieuws

We hebben nu alweer een paar jaar te maken met de Algemene verordening gegevensbescherming (AVG).

Maar wanneer moet je nu eigenlijk een register van verwerkingsactiviteiten (verwerkingsregister) bijhouden? En wat moet je als organisatie dan volgens artikel 30 van deze AVG  precies registreren? Een eenduidig antwoord is er helaas niet. Je verplichtingen hangen af van de omvang van je organisatie en het type gegevens dat je verwerkt.

In elk geval ben je als organisatie met meer dan 250 medewerkers verplicht een verwerkingsregister bij te houden, waarin je alle structurele en incidentele verwerkingen formeel vastlegt. Ook dien je als verwerkingsverantwoordelijke (en dat ben je zodra je beslist over het hoe en waarom van de verwerking) dit register (digitaal) desgevraagd ter beschikking kunnen stellen aan de Autoriteit Persoonsgegevens (AP). Dit is een onderdeel van je verantwoordingsplicht (art. 5 lid 2 van de AVG). Er is echter geen vaststaande wijze waarop een dergelijke inventarisatie vorm moeten worden gegeven. Hoe je verwerkingsregister eruit ziet, is dus aan jou als organisatie. Wel dien je hierin ten minste de volgende gegevens op te nemen:

Naam en contactgegevens

De naam en contactgegevens van je eigen organisatie en die van eventuele andere organisaties met wie je gezamenlijk de doelen en middelen (het waarom en hoe) hebt vastgelegd. Ook de naam en contactgegevens van je Functionaris Gegevensbescherming (FG) als je die hebt aangesteld en eventuele internationale organisaties waarmee je persoonsgegevens deelt (“verwerkers”) dien je te vermelden. Zeker als je de gegevens deelt met een land of internationale organisatie buiten de EU.

Doeleinden

De verwerkingsdoeleinden: de doelen waarvoor je de persoonsgegevens verwerkt. Bijvoorbeeld om de salarisadministratie van je medewerkers te kunnen uitvoeren.

Betrokkenen

Een beschrijving van de categorieën betrokkenen van wie je de persoonsgegevens verwerkt. Bijvoorbeeld medewerkers en klanten of leveranciers.

Persoonsgegevens

Een beschrijving van de persoonsgegevens. Bijvoorbeeld naam, adres, telefoonnummer, BSN nummer, foto of ander beeldmateriaal of geluidsopnames.

Ontvangers

De categorieën van ontvangers (waaronder verwerkers) aan wie je de persoonsgegevens verstrekt Bijvoorbeeld de Belastingdienst in het kader van je salarisadministratie.

Buiten de EU

Landen of internationale organisaties buiten de EU met wie je gegevens deelt (tip: registreer ook subverwerkers – dit is informatie die je nog wel eens nodig kunt hebben).

Bewaartermijn

De beoogde bewaartermijn. Dit is de datum waarop je de opgeslagen persoonsgegevens moet wissen (tip: stel een bewaarbeleid op om helder te maken wat er wanneer gewist dient te worden).

Beveiliging

Een algemene beschrijving van de door jou getroffen technische en organisatorische beveiligingsmaatregelen. Onder technische maatregelen verstaan we bijvoorbeeld de pseudonimisering en versleuteling van persoonsgegevens. Organisatorische maatregelen zijn bijvoorbeeld de maatregelen zoals interne autorisatie, waarbij alleen die medewerkers toegang hebben tot bepaalde persoonsgegevens, die dit voor de uitvoering van hun werkzaamheden nodig hebben, zoals bij HR bepaalde functionarissen of administratief medewerkers.

Let op: heb je een organisatie met minder dan 250 medewerkers, dan ben je ook verplicht een verwerkingsregister bij te houden als:

  • Verwerkingen structureel zijn. Bijvoorbeeld als het gaat om gegevens van je klanten, medewerkers, patiënten etc.
  • Je persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de persoonsgegevens die je verwerkt. Bijvoorbeeld wanneer je je medewerkers monitort.
  • Je bijzondere persoonsgegevens gebruikt. Dit geldt bijvoorbeeld voor gegevens over godsdienst of gezondheid of strafrechtelijke gegevens.

Zelf een verwerkingsregister opzetten? Met Excel of SharePoint kom je vaak een heel eind. Schakel ons gerust in om je snel en goed op weg te helpen. Is sprake van een grote organisatie of veel (soorten) gegevens? Er zijn verschillende tools op de markt die ook complexere digitale verwerkingsregisters ondersteunen. Als Privacycoaches adviseren we je graag. Want met een goed opgezet verwerkingsregister voldoe je niet alleen aan een wettelijke verplichting, het biedt ook optimaal inzicht in al je verwerkingen. Zo kun jij de privacyrisico’s voor jouw organisatie steeds goed inschatten.

Benieuwd wat Privacycoaches
voor jou kan doen?

onderlijn-test

Start typing and press Enter to search