Sinds de invoering van de AVG zie je steeds vaker de term register voor gegevensverwerkingen voorbij komen. Onder bepaalde omstandigheden hebben organisaties zo’n verwerkingsregister nodig. Maar wanneer is dit nodig? Is dit verplicht? En wat staat in zo’n register? Als jurist met een liefde voor privacyrecht, leg ik het graag uit.
Wat is een register voor gegevensverwerking?
Een register voor gegevensverwerking is een document waarin een organisatie verwerkingen van persoonsgegevens bijhoudt. Met zo’n verwerkingsregister kunnen organisaties precies aantonen hoe zij persoonsgegevens verwerken.
Waarom heb ik een register nodig?
De AVG kent een verantwoordingsplicht. Deze verantwoordingsplicht ziet er op toe dat organisaties kunnen aantonen dat hun gegevensverwerkingen voldoen aan de regels van de AVG.
De AVG noemt een aantal verplichte maatregelen om aan de verantwoordingsplicht te voldoen. Eén van deze verplichte maatregelen is het bijhouden van een register voor gegevensverwerkingen. Naast de verplichte maatregelen kan een organisatie er ook voor kiezen om extra maatregelen te nemen, bijvoorbeeld door zich aan te sluiten bij een gedragscode. Zo zijn recherchebureaus aangesloten bij de Privacygedragscode voor particuliere onderzoeksbureaus. Hierin staan voor recherchebureaus extra regels over hoe in de praktijk moet worden omgegaan met persoonsgegevens.
Is een verwerkingsregister verplicht?
Of het opstellen van een verwerkingsregister verplicht is, hangt af van de omvang van de organisatie en het type persoonsgegevens die de organisatie verwerkt. Als de organisatie bestaat uit meer dan 250 medewerkers, dan is het opstellen van een verwerkingsregister sowieso verplicht.
Ook voor kleinere organisaties kan het opstellen van een verwerkingsregister verplicht zijn. Het opstellen van een verwerkingsregister is ook verplicht als:
- de verwerking van persoonsgegevens niet incidenteel is;
- persoonsgegevens worden verwerkt die een hoog risico inhouden voor de rechten en vrijheden van betrokkenen;
- bijzondere persoonsgegevens worden verwerkt.
Wat moet in een verwerkingsregister staan?
Wat in een verwerkingsregister moet komen te staan, hangt af van het feit of je verwerkingsverantwoordelijke of verwerker bent. Als verwerkingsverantwoordelijke moet je het volgende in het verwerkingsregister opnemen:
- verwerkingsdoelen;
- grondslagen voor verwerking;
- beschrijving van de categorieën van van de betrokkenen;
- beschrijving van de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
- verwerkers die zijn ingeschakeld;
- of sprake is van doorgifte van persoonsgegevens aan derde landen;
- beschrijving van de categorieën van de persoonsgegevens;
- bewaartermijnen;
- beschrijving van de technische en organisatorische beveiligingsmaatregelen die worden genomen;
- naam van de functionaris voor gegevensbescherming.
Als verwerker moet je het volgende in het verwerkingsregister opnemen:
- naam en contactgegevens van de verwerkingsverantwoordelijke;
- beschrijving van de categorieën van verwerkingen die zijn of worden uitgevoerd;
- doorgiften van persoonsgegevens aan derde landen;
- beschrijving van de technische en organisatorische beveiligingsmaatregelen die worden genomen;
- naam van de functionaris voor gegevensbescherming.
Tips bij het maken van een verwerkingsregister
De AP en de AVG stellen geen expliciete eisen aan het uiterlijk en de indeling van een verwerkingsregister. Maar het is zeker belangrijk om het verwerkingsregister duidelijk op te stellen. Het is belangrijk om in één oogopslag te kunnen zien hoe en waarom bepaalde persoonsgegevens worden verwerkt. Zorg daarom voor een overzichtelijk bestand waarin je makkelijk door de diverse verwerkingen kan navigeren.
Hulp nodig?
Het bovenstaande geeft in een notendop de belangrijkste aspecten van een register voor gegevensverwerking weer. Het is best lastig om een goed register te maken en het daarnaast op de juiste manier bij te houden. Heb je vragen over (het opstellen van) een register van gegevensverwerkingen of over de AVG? Bel of mail mij dan gerust.
Esmée Piening
Advocaat