Blueline+
Tips en tricks

Is een verwerkingsregister verplicht onder de AVG? Blueline legt uit

Wat is een verwerkingsregister?

Voordat we kijken naar of de AVG organisaties tot een verwerkingsregister verplicht, is het goed te kijken naar haar oorsprong. Een van de meest belangrijke vernieuwingen die de Algemene Verordening Gegevensbescherming (oftewel de AVG, of GDPR in het Engels) introduceerde was de verantwoordingsplicht. Volgens artikel 5 lid 2 van de AVG moeten verwerkingsverantwoordelijken (organisaties die beslissen over waarom en hoe gegevens worden verwerkt) te allen tijden kunnen aantonen dat ze voldoen aan de AVG. De gedachte is dat het de bescherming van privacyrechten van individuen ten goede komt wanneer organisaties actief de bescherming daarvan moeten kunnen aantonen. Het verwerkingsregister vormt de basis van de interne privacystructuur van organisaties: het biedt in één oogopslag een overzicht van welke persoonsgegevens op wat voor wijze en met welke grondslag worden verwerkt.

Is een verwerkingsregister verplicht onder de AVG?

Onder de AVG zijn organisaties (dus niet alleen bedrijven!) vanaf 250 werknemers altijd verplicht om een verwerkingsregister bij te houden. Ook organisaties met minder dan 250 werknemers zijn verplicht tot het voeren van een register wanneer:

  • De gegevensverwerking door hen niet incidenteel is;
  • Het waarschijnlijk is dat de gegevensverwerking door hen een risico oplevert voor de rechten van en vrijheden voor de gegevenssubjecten (degenen wiens gegevens worden verwerkt);
  • Bijzondere categorieën gegevens worden verwerkt onder artikel 9 lid 1 AVG (zoals ras en religie) gegevens aangaande criminele veroordelingen en misdrijven.

In de praktijk dienen vrijwel alle organisaties een verwerkingsregister bij te houden

In de praktijk dienen vrijwel alle organisaties een verwerkingsregister bij te houden, omdat gegevensverwerking zelden incidenteel is. Bedrijven die gegevens van klanten of medewerkers bijhouden, doen dit op structurele basis en vallen daarom onder de verplichting.

Wat dient het verwerkingsregister te bevatten?

Het verwerkingsregister dient als grondregel een overzicht te bieden van alle activiteiten van een organisatie waarin persoonsgegevens worden verwerkt. Het bevat dan ook geen individuele data: het is een overzicht van de activiteiten, waarmee gegevens worden verwerkt.

Er bestaan verschillen tussen wat een verwerkingsverantwoordelijke (oftewel een controller) en een verwerker (een processor, handelend in opdracht van een verwerkingsverantwoordelijken) moeten bijhouden in het verwerkingsregister.

Het verwerkingsregister van de verwerkingsverantwoordelijke bevat per verwerkingsactiviteit:

Blueline Privacy vewerkingsregister AVG
Het verwerkingsregister van Blueline+

  • de doelen en de grondslagen voor verwerking
  • de categorieën van betrokkenen
  • de categorieën van persoonsgegevens
  • de verwerkers die de persoonsgegevens verder verwerken
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt
  • de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing)
  • de termijn waarop verschillende categorieën van gegevens worden gewist (indien bepaald)
  • een algemene beschrijving van de genomen technische en organisatorische beveiligingsmaatregelen
  • de naam van de Functionaris Gegevensbescherming (of DPO)

Het verwerkingsregister van de verwerker bevat per verwerkingsactiviteit:

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke in wiens opdracht de gegevens worden verwerkt
  • de categorieën van verwerkingen die voor de verwerkingsverantwoordelijke(n) worden uitgevoerd
  • de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing)
  • een algemene beschrijving van de genomen technische en organisatorische beveiligingsmaatregelen
  • de naam van de Functionaris voor Gegevensbescherming

Hoe dien ik dit register bij te houden?

De AVG stelt geen verdere eisen aan organisaties over hoe het verwerkingsregister moet worden bijgehouden, behalve dat dit op een gedegen wijze moet gebeuren en dat het register te allen tijde moet kunnen worden ingezien door de Autoriteit Persoonsgegevens. Het correct opstellen en bijhouden van het verwerkingsregister vereist grondige kennis van de AVG, aangezien onder de juridische grondslagen van de verwerkingen moeten kunnen worden aangegeven.

Hoe kan Blueline hierbij helpen?

Bij Blueline helpen we onze klanten om moeiteloos compliant te worden met de AVG en andere privacyregelgeving. U krijgt toegang tot onze tool Blueline+, die onder andere een state-of-the-art verwerkingsregister bevat. Geen zorgen: wij voeren al uw verwerkingsactiviteiten op een juiste manier in, en wijzen u op eventuele valkuilen. Zo bent voldoet u 24/7 aantoonbaar aan de verantwoordingsplicht, en kunt u zich richten op de kerntaken van uw organisatie.

AVGverwerkingsregister

Remko Mooi

Remko Mooi promoveert momenteel aan de Tilburg Law School. Hij is afgestudeerd in het Internationaal en Europees Handels- en Investeringsrecht, en in de Geschiedenis.

Privacy Settings
We use cookies to enhance your experience while using our website. If you are using our Services via a browser you can restrict, block or remove cookies through your web browser settings. We also use content and scripts from third parties that may use tracking technologies. You can selectively provide your consent below to allow such third party embeds. For complete information about the cookies we use, data we collect and how we process them, please check our Privacy Policy
Youtube
Consent to display content from Youtube
Vimeo
Consent to display content from Vimeo
Google Maps
Consent to display content from Google
Spotify
Consent to display content from Spotify
Sound Cloud
Consent to display content from Sound