Het verwerkingsregister (AVG)

12 april 2018

gdpr

Het verwerkingsregister

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) zijn organisaties verplicht om een register van verwerkingen, ook wel ‘verwerkingsregister’ genoemd, bij te houden. In dit artikel wordt uitgelegd waarom het verwerkingsregister is ingevoerd en onder welke voorwaarden organisaties zo’n register moeten bijhouden. Tip van de sluier: deze verplichting zal voor nagenoeg iedere organisatie gaan gelden. Er zal ook bij stil worden gestaan welke gegevens in het register moeten worden opgenomen.

Waarom?
Tot 6 november 2017 waren organisaties verplicht om aan de Autoriteit Persoonsgegevens (AP) te melden als zij persoonsgegevens verwerkten. Met de komst van de AVG vervalt deze meldplicht. In plaats daarvan dienen organisaties onder de AVG een Verwerkingsregister bij te houden. Alleen als er sprake is van een gegevensverwerking met een hoog risico voor betrokkenen blijft een melding verplicht.

Wanneer?
Welke organisaties moeten een verwerkingsregister bijhouden? Zowel een verwerkingsverantwoordelijke als een verwerker zal een register van verwerkingsactiviteiten moeten bijhouden.

Een dergelijk register hoeft in beginsel niet bijgehouden te worden als de organisatie minder dan 250 personeelsleden heeft, maar hierop is meteen weer een belangrijke uitzondering van toepassing. Het register moet er wel zijn wanneer:

  1. Verwerkingen met een hoog risico voor betrokkenen worden uitgevoerd;
  2. Verwerkingen van bijzondere persoonsgegevens plaatsvinden (denk aan medische en strafrechtelijke gegevens);
  3. Verwerkingen structureel zijn.

Met name de eis dat de verwerkingen niet structureel mogen zijn, leidt er toe dat nagenoeg elke onderneming toch vanaf 25 mei 2018 een Verwerkingsregister moet hebben. Het bijhouden van de debiteurenadministratie en de salarisadministratie zijn immers naar de aard niet incidenteel. Het achterliggende doel om het MKB te ontlasten is dan ook mislukt.

Hoe?
Verwerkers en verantwoordelijken moeten aan verschillende eisen voldoen.

Bij de verantwoordelijke is het register georganiseerd per verwerkingscategorie. Artikel 30 lid 1 AVG bevat een opsomming van alle gegevens die het verwerkingsregister moet bevatten. Dit zijn:

  • de naam en contactgegevens van de verantwoordelijke en (indien aanwezig) van de functionaris voor gegevensbescherming (FG);
  • de verwerkingsdoeleinden;
  • de categorieën gegevens die worden verwerkt (zoals NAW-gegevens, contactgegevens, betaalgegevens);
  • de categorieën van betrokkenen (zoals klanten, websitebezoekers, werknemers);
  • de categorieën van ontvangers (aan wie worden de gegevens verstrekt?);
  • informatie over eventuele doorgifte van gegevens naar landen buiten de EU;
  • de bewaartermijnen van de gegevens;
  • de manieren waarop de gegevens zijn beveiligd (zoals encryptie, toegangscontrole, pseudonimisering).

Bij de verwerker is het register georganiseerd per verwerker. Artikel 30 lid 2 AVG bevat een opsomming van alle gegevens die het Verwerkingsregister moet bevatten. Dit zijn:

  • de naam en contactgegevens van de verwerker en de verantwoordelijke en (indien aanwezig) de FG;
  • de categorieën van verwerkingen (deze komen overeen met de doeleinden uit het Verwerkingsregister van de verantwoordelijke);
  • informatie over eventueel doorgifte van gegevens naar landen buiten de EU;
  • de manieren waarop gegevens zijn beveiligd.

U kunt het register op eenvoudige wijze bijhouden in een Excel-sheet.

Tot slot
Het verwerkingsregister is één van de nieuwe verplichtingen onder de AVG. Met het Verwerkingsregister kunnen organisaties duidelijk in kaart brengen welke gegevens zij verwerken en voor welke doeleinden. Deze informatie kan goed van pas komen als betrokkenen gebruik maken van het op inzage. Neem voor meer informatie contact op met een van onze privacyspecialisten of meld u hier aan voor de subsessie hierover op het congres Business Ethics & Legal.

Lees ook onze artikelen over de betekenis van de AVG/GDPR voor werkgevers, de rol van de OR bij de AVG/GDPR en de DPIA.