Wat is een verwerkingsregister?
Voordat we kijken naar of de AVG organisaties tot een verwerkingsregister verplicht, is het goed te kijken naar haar oorsprong. Een van de meest belangrijke vernieuwingen die de Algemene Verordening Gegevensbescherming (oftewel de AVG, of GDPR in het Engels) introduceerde was de verantwoordingsplicht. Volgens artikel 5 lid 2 van de AVG moeten verwerkingsverantwoordelijken (organisaties die beslissen over waarom en hoe gegevens worden verwerkt) te allen tijden kunnen aantonen dat ze voldoen aan de AVG. De gedachte is dat het de bescherming van privacyrechten van individuen ten goede komt wanneer organisaties actief de bescherming daarvan moeten kunnen aantonen. Het verwerkingsregister vormt de basis van de interne privacystructuur van organisaties: het biedt in Ć©Ć©n oogopslag een overzicht van welke persoonsgegevens op wat voor wijze en met welke grondslag worden verwerkt.
Is een verwerkingsregister verplicht onder de AVG?
Onder de AVG zijn organisaties (dus niet alleen bedrijven!) vanaf 250 werknemers altijd verplicht om een verwerkingsregister bij te houden. Ook organisaties met minder dan 250 werknemers zijn verplicht tot het voeren van een register wanneer:
- De gegevensverwerking door hen niet incidenteel is;
- Het waarschijnlijk is dat de gegevensverwerking door hen een risico oplevert voor de rechten van en vrijheden voor de gegevenssubjecten (degenen wiens gegevens worden verwerkt);
- Bijzondere categorieƫn gegevens worden verwerkt onder artikel 9 lid 1 AVG (zoals ras en religie) gegevens aangaande criminele veroordelingen en misdrijven.
In de praktijk dienen vrijwel alle organisaties een verwerkingsregister bij te houden
In de praktijk dienen vrijwel alle organisaties een verwerkingsregister bij te houden, omdat gegevensverwerking zelden incidenteel is. Bedrijven die gegevens van klanten of medewerkers bijhouden, doen dit op structurele basis en vallen daarom onder de verplichting.
Wat dient het verwerkingsregister te bevatten?
Het verwerkingsregister dient als grondregel een overzicht te bieden van alle activiteiten van een organisatie waarin persoonsgegevens worden verwerkt. Het bevat dan ook geen individuele data: het is een overzicht van de activiteiten, waarmee gegevens worden verwerkt.
Er bestaan verschillen tussen wat een verwerkingsverantwoordelijke (oftewel een controller) en een verwerker (een processor, handelend in opdracht van een verwerkingsverantwoordelijken) moeten bijhouden in het verwerkingsregister.
Het verwerkingsregister van de verwerkingsverantwoordelijke bevat per verwerkingsactiviteit:
- de doelen en de grondslagen voor verwerking
- de categorieƫn van betrokkenen
- de categorieƫn van persoonsgegevens
- de verwerkers die de persoonsgegevens verder verwerken
- de categorieƫn van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt
- de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing)
- de termijn waarop verschillende categorieƫn van gegevens worden gewist (indien bepaald)
- een algemene beschrijving van de genomen technische en organisatorische beveiligingsmaatregelen
- de naam van de Functionaris Gegevensbescherming (of DPO)
Het verwerkingsregister van de verwerker bevat per verwerkingsactiviteit:
- de naam en de contactgegevens van de verwerkingsverantwoordelijke in wiens opdracht de gegevens worden verwerkt
- de categorieƫn van verwerkingen die voor de verwerkingsverantwoordelijke(n) worden uitgevoerd
- de doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing)
- een algemene beschrijving van de genomen technische en organisatorische beveiligingsmaatregelen
- de naam van de Functionaris voor Gegevensbescherming
Hoe dien ik dit register bij te houden?
De AVG stelt geen verdere eisen aan organisaties over hoe het verwerkingsregister moet worden bijgehouden, behalve dat dit op een gedegen wijze moet gebeuren en dat het register te allen tijde moet kunnen worden ingezien door de Autoriteit Persoonsgegevens. Het correct opstellen en bijhouden van het verwerkingsregister vereist grondige kennis van de AVG, aangezien onder de juridische grondslagen van de verwerkingen moeten kunnen worden aangegeven.
Hoe kan Blueline hierbij helpen?
Bij Blueline helpen we onze klanten om moeiteloos compliant te worden met de AVG en andere privacyregelgeving. U krijgt toegang tot onze tool Blueline+, die onder andere een state-of-the-art verwerkingsregister bevat. Geen zorgen: wij voeren al uw verwerkingsactiviteiten op een juiste manier in, en wijzen u op eventuele valkuilen. Zo bent voldoet u 24/7 aantoonbaar aan de verantwoordingsplicht, en kunt u zich richten op de kerntaken van uw organisatie.
