Register van verwerkingsactiviteiten (AVG)
Naar aanleiding van mijn vorige artikel, waarin ik in grote lijnen de nieuwe AVG toelicht, kreeg ik veel vragen. Een vraag die met kop en schouders boven de andere uitstak was: ´wat moet ik concreet doen om te voldoen aan de nieuwe AVG`? Een van de meest concrete artikelen uit de AVG betreft artikel 30 over het register van verwerkingsactiviteiten. Via dit artikel zal ik uitleggen of uw onderneming een register van verwerkingsactiviteiten zal moeten bijhouden. Tevens beschrijf ik hoe u dit zou kunnen vormgeven.
MOET IK EEN REGISTER VAN VERWERKINGSACTIVITEITEN BIJHOUDEN?
Indien u een organisatie heeft waarin méér dan 250 personen werkzaam zijn bent u verplicht een register van verwerkingsactiviteiten bij te houden. Maar ook als u een kleinere onderneming hebt kunt u hiertoe verplicht zijn. De AVG stelt dat u hiertoe verplicht bent indien u persoonsgegevens verwerkt:
- waarvan de verwerking niet incidenteel is. Dit is nog een zogenaamde open norm. Er wordt verwacht dat in de praktijk verwerkingen zelden incidenteel zullen zijn. Enkele voorbeelden van verwerkingen die NIET incidenteel zijn: gegevens van medewerkers en klantgegevens. Vooral webshops en hostingproviders hebben vaak gigantische klantbestanden;
- die een hoog risico inhouden voor de rechten en vrijheden van de betrokkenen;
- die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, gezondheid of strafrechtelijke gegevens.
Bent u verplicht om een register van verwerkingsactiviteiten op te stellen? Dan moet u dit register kunnen verstrekken wanneer de Autoriteit Persoonsgegevens daar om verzoekt.
WAT MOET ER IN HET REGISTER VAN VERWERKINGSACTIVITEITEN STAAN?
Om deze vraag te kunnen beantwoorden dient u eerst vast te stellen of u verwerker of verwerkingsverantwoordelijke bent. Volgens de AVG bent u verwerker indien u ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Aan deze rechtsverhouding zou overigens volgens de AVG sowieso een verwerkersovereenkomst ten grondslag moeten liggen.
U BENT VERWERKINGSVERANTWOORDELIJKE
Dan dient u er – samengevat – voor zorg te dragen dat minstens de volgende gegevens wordt geregistreerd:
- de naam en de contactgegevens van de verwerkingsverantwoordelijke;
- de verwerkingsdoeleinden;
- een beschrijving van de betrokkenen categorieën (bijvoorbeeld klanten, websitebezoekers of werknemers);
- een omschrijving van de gegevens categorieën (bijvoorbeeld contactgegevens, NAW-gegevens of betaalgegevens);
- een beschrijving van de ontvangers categorieën (aan wie worden de gegevens verstrekt)
- informatie over eventuele verstrekking van de gegevens aan internationale organisaties of landen buiten de EU;
- bewaartermijnen;
- de beveiliging van de gegevens (bijvoorbeeld middels pseudonimisering en versleuteling).
U BENT VERWERKER
Dan dient u er – samengevat – voor zorg te dragen dat u PER verantwoordelijke waarvoor u werkt minstens de volgende gegevens registreert:
- de naam en contactgegevens van de verwerker en van iedere verantwoordelijke en (indien van toepassing) de functionaris voor gegevensbescherming;
- een beschrijving van de betrokkenen categorieën (bijvoorbeeld klanten, websitebezoekers of werknemers);
- een omschrijving van de gegevens categorieën (bijvoorbeeld contactgegevens, NAW-gegevens of betaalgegevens);
- een beschrijving van de ontvangers categorieën (aan wie worden de gegevens verstrekt)
- informatie over eventueel doorgifte van gegevens naar landen buiten de EU;
- de beveiliging van de gegevens (bijvoorbeeld middels pseudonimisering en versleuteling).
HOE KAN IK HET REGISTER VAN VERWERKINGSACTIVITEITEN HET BESTE BIJHOUDEN?
U bent vrij om een voor u geschikte manier van registratie te kiezen. U kunt bijvoorbeeld een Excel bestand bijhouden.
Heeft u nog vragen? Neem dan contact met ons op voor meer informatie.