Blog over het verwerkingsregister met afbeelding van wetboek en pen

Het verwerkingsregister

Over deregisterplicht en hoe je daaraan voldoet
Wie als ondernemer, bedrijf of organisatie persoonsgegevens verwerkt en bepaalt welke persoonsgegevens dat zijn, voor welk doel die worden verwerkt en met welke middelen, is voor de Algemene verordening gegevensbescherming  (AVG) een 'verwerkingsverantwoordelijke'. Op grond van art. 30 AVG heb je dan meestal ook een registerplicht (of documentatieplicht). Organisaties met meer dan 250 medewerkers moeten een verwerkingsregister bijhouden, maar de plicht geldt ook onder één van de volgende omstandigheden:
- Bij niet-incidentele verwerking van persoonsgegevens. Denk bijvoorbeeld aan een  klantenadministratie, personeelsadministratie, patiëntendossiers van personen, ledenadministratie, etc.. Bij incidentele gegevensverwerking kan het gaan om bijvoorbeeld de deelnemerslijst voor een eenmalig evenementje;
- Bij de verwerking van gegevens met een hoog risico voor de rechten en vrijheden van de personen van wie je persoonsgegevens verwerkt, bijvoorbeeld door grootschaligheid, stelselmatigheid of grote  gevolgen van de verwerking;
- Bij de verwerking van 'bijzondere persoonsgegevens'. Hieronder vallen o.a. gegevens m.b.t. godsdienst, gezondheid, politieke voorkeur of strafrechtelijke gegevens.

De registerplicht is dus ook voor verwerkingsverantwoordelijken als kleine ondernemers, ZZP'ers, bedrijven uit het MKB, verenigingen etc. relevant.

Bij twijfel of de plicht in jouw geval van toepassing is, is het raadzaam een verwerkingsregister op te stellen. Als je al je verwerkingsactiviteiten netjes geregistreerd hebt, loopt je geen onnodig risico op boetes en heb je zelf ook overzicht. Hoewel het woord 'register' wellicht doet denken aan een omvangrijke administratie, hoeft dat niet het geval te zijn.

Wat zet je als verwerkingsverantwoordelijke in je register?
- je naam en contactgegevens (bij vestiging buiten de EU, jouw vertegenwoordiger) en – indien van toepassing – gegevens van je Functionaris Gegevensbescherming en een eventuele andere organisatie met wie je gezamenlijk de verantwoording draagt;
- de doelen van de gegevensverwerking (bijv. verkoop). Uit oogpunt van de verantwoordingsplicht is het goed hierbij ook de grondslag en een onderbouwing te vermelden;
- een beschrijving van de categorieën gegevens (bijv. NAW-gegevens, camerabeelden, IP-adres);
- een beschrijving van de categorieën van personen (bijv. klanten);
- de categorieën ontvangers waar de gegevens aan verstrekt worden of zullen worde, o.a. die buiten de EU en internationale organisaties;
- indien van toepassing, doorgiften van persoonsgegevens aan landen buiten de EU of een internationale organisatie, aangevuld met documentatie over de getroffen passende waarborgen;
- de beoogde bewaartermijnen van de gegevens;
- een beschrijving van de wijze waarop de gegevens zijn beveiligd (bijv. door gebruik van een wachtwoord, encryptie, pseudonimisering).

Als het register eenmaal opgesteld is, moet je het actueel en volledig houden. Elke verandering in de verwerking van persoonsgegevens - bijvoorbeeld het gebruik van een nieuw soort persoonsgegeven of een nieuw verwerkingsdoel - moet worden opgenomen in het register. Het register dient in schriftelijke vorm beschikbaar te zijn, maar je mag zelf kiezen op welke manier je dat realiseert, bijvoorbeeld op papier of digitaal, in Word of Excel, in een softwareprogramma, etc.

Verwerk je als bedrijf of organisatie in opdracht van een verwerkingsverantwoordelijke persoonsgegevens (en bepaal je niet zelf de verwerkingsdoelen en middelen), dan ben je 'verwerker' en zet je het volgende in je register:
- je eigen naam en contactgegevens (bij vestiging buiten de EU, jouw vertegenwoordiger) en die van je opdrachtgevers (en/of hun vertegenwoordigers) en – indien van toepassing – gegevens van de Functionaris Gegevensbescherming;
- de categorieën van verwerkingen die in opdracht van iedere verwerkingsverantwoordelijke worden uitgevoerd;
- informatie over doorgifte van gegevens naar landen buiten de EU of internationale organisaties aangevuld met documentatie over de getroffen passende waarborgen;
- de bewaartermijnen van de gegevens;
- een beschrijving van de wijze waarop de gegevens zijn beveiligd (bijv. door gebruik van een wachtwoord, encryptie, pseudonimisering).

Met behulp van het register leg je verantwoording af aan de toezichthouder (Autoriteit Persoonsgegevens), maar het helpt je ook om zelf de stand van zaken en verbeterpunten inzichtelijk te hebben. Een register is niet bedoeld voor publicatie (daarvoor is de privacyverklaring) en mag aanvullende informatie bevatten.

Maart 2020
Disclaimer
De artikelen en blogposts van Legalance bieden algemene informatie en zijn nietbedoeld als advies. Er is niet beoogd volledigheid over een bepaald leerstuk nate streven. Ook kan de informatie verouderd, onvolledig en/of onjuist zijn doorwijzigingen in wet- en regelgeving, nieuwe rechtspraak of andere ontwikkelingen.Aan de hier aangeboden informatie kunnen dan ook geen rechten worden ontleend.De auteur daarvan kan niet aansprakelijk worden gehouden voor de gevolgen vanhet gebruik, op welke wijze dan ook, van deze informatie. De tekst-editor veroorzaakttaal- en opmaakfouten in de weergave.