> AVG: het verwerkingsregister

In deze serie blogs geven wij aan wat de tien belangrijkste veranderingen zijn die de nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG) met zich meebrengt.

In dit blog: het bijhouden van een register van verwerkingen (verwerkingsregister) van de verschillende soorten persoonsgegevens die uw organisatie gebruikt (verwerkt).

Bijhouden verwerkingsregister

Er is een verplichting om een overzicht bij te houden van de verschillende stromen persoonsgegevens die uw organisatie gebruikt (de juridische uitdrukking van gebruiken is: verwerken).

Geldt de verplichting niet voor kleinere bedrijven?

De vraag is of de verplichting wel of niet geldt voor bedrijven met minder dan 250 werknemers.

In de AVG staat namelijk dat de verplichting niet geldt voor bedrijven met minder dan 250 werknemers. Maar er staat ook: tenzij het gebruik van de persoonsgegevens niet incidenteel (dat wil zeggen: structureel) is. Wij lezen de bepaling dus zo dat als uw organisatie op structurele basis persoonsgegevens gebruikt, het bijhouden van het overzicht wél verplicht is. 

Vrijwel ieder bedrijf zal persoonsgegevens structureel verwerken. Alleen al omdat het zakelijk e-mail gebruikt of via een website IP-adressen verzamelt. De verplichting om het verwerkingsregister bij te houden zal dus voor de meeste organisaties gelden, of ze nu meer of minder dan 250 werknemers hebben.

Maar, ook als uw organisatie zeer sporadisch persoonsgegevens verwerkt, zal het overzicht nodig zijn wanneer het om bijzondere persoonsgegevens gaat of de verwerking een risico met zich meebrengt voor de personen, bijvoorbeeld omdat het om een kwetsbare groep personen gaat.

Als dat allemaal niet zo is, dan hoeft uw organisatie geen verwerkingsregister bij te houden.

Wat moet er verplicht in het verwerkingsregister staan?

In de AVG staat dat verplicht de volgende informatie in het overzicht moet staan:

1.   De naam en contactgegevens van uw organisatie (de verantwoordelijke of verwerkingsverantwoordelijke).

2.   Als er meerdere gezamenlijke verantwoordelijken zijn, de contactgegevens van die verschillende verantwoordelijken.

3.   Als er een Functionaris Gegevensbescherming ("FG") is: de naam en contactgegevens van de FG.

4.   De doeleinden waarvoor de persoonsgegevens worden verwerkt.

Bijvoorbeeld: "om de persoon aan te spreken, om de persoon per email een bevestiging van de aankoop te sturen, om de gegevens over website-bezoekers te analyseren".

5.   Een beschrijving van de soorten (categorieën) betrokken personen.

Bijvoorbeeld: "websitebezoekers, werknemers of klanten".

6.   Een beschrijving van de soorten (categorieën) persoonsgegevens.

Bijvoorbeeld: "naam, adres, emailadres, foto, IP-adressen, inhoud correspondentie".

 

Vrijwel iedere organisatie zal een verwerkingsregister bij moeten houden.

 

7.   De soorten (categorieën) externe partijen die de persoonsgegevens van uw organisatie ontvangen. Hieronder vallen niet alleen andere marktpartijen maar ook verwerkers en overheidsinstanties waaraan op regelmatige basis persoonsgegevens worden doorgegeven.

8.   Als de persoonsgegevens worden doorgegeven naar buiten de EER, naar welk land dat is en, als de gegevens worden doorgegeven op basis van "bijzondere omstandigheden" (zie uitzondering 13 in het Factsheet Dataexport of het Dossier Doorgifte), de documenten inzake de passende waarborgen.

9.   Als dat mogelijk is, de bewaartermijnen of bewaarcriteria voor het bewaren van de persoonsgegevens.

Bijvoorbeeld: "tot twee jaar na het aanmaken van het gegeven of tot twee jaar na het eindigen van de overeenkomst of 15 jaar voor patiëntendossiers."

10.   Als dat mogelijk is, een algemene beschrijving van de beveiligingsmaatregelen.

Andere informatie aan het register toevoegen kan handig zijn

De hiervoor genoemde informatie moet verplicht in het register worden opgenomen.

Maar het kan handig zijn om meer informatie in het register op te nemen over de manier waarop de persoonsgegevens worden verwerkt. Het kan namelijk goed helpen bij het opstellen van de privacyverklaring, bij datalekken (als het bijvoorbeeld ook om bijzondere persoonsgegevens gaat zoals medische gegevens) en bij het reageren op verzoeken van de betrokken personen. 

Bijvoorbeeld:

De toezichthouder kan in ieder geval de verplichte informatie in het overzicht opvragen. Maar, als de toezichthouder bij uw organisatie een onderzoek uitvoert, kan het ook andere informatie opvragen, waaronder de andere informatie in het overzicht.

Hoe moet dat verwerkingsregister er uit zien?

Er zijn geen regels voor hoe het register er uit moet zien.

Het kan bijvoorbeeld in een Excel overzicht worden gezet, maar het kan ook worden bijgehouden via speciale software die op de markt verkrijgbaar is.

Als uw organisatie niet veel verschillende soorten persoonsgegevens gebruikt, zal een Excel overzicht voldoende zijn. U kunt bijvoorbeeld het Excel overzicht gebruikt gemaakt dat u als tool hiervoor kunt gebruiken.

Hoe moet u zo'n register aanleggen?

Om een register aan te leggen, inventariseert u eerst welke verschillende persoonsgegevens uw organisatie gebruikt. (In ons dossier persoonsgegevens staat uitgelegd wat persoonsgegevens zijn).

Actiepunt: verschillende stromen persoonsgegevens waarvoor uw organisatie verantwoordelijk is identificeren. 


Veel voorkomende voorbeelden van plekken waar stromen persoonsgegevens zijn:

  1. E-mailverkeer
  2. Externe (internet) applicaties
  3. Interne (internet) applicaties
  4. Andere interne of externe IT-systemen
  5. Mobiele apps
  6. Eigen website
  7. Klanten- of ledenbestanden
  8. Social media
  9. Fysieke mappen of bestanden, zoals werknemersdossiers of bezoekersregistraties
  10. Camerabeelden van bezoekers van bedrijfspanden

Als uw organisatie meerdere afdelingen heeft, kunt u ook onze Inventarisatielijst gebruiken om binnen de organisatie te inventariseren welke stromen er zijn.

Actiepunt:
Register verwerkingen maken.
U kunt hiervoor ons Verwerkingsregister gebruiken.


Houdt het register up-to-date 

Zorg ook dat het overzicht up-to-date wordt gehouden.

Dat zal nodig zijn bij veranderingen in de manier waarop de persoonsgegevens worden gebruikt of als er nieuwe gegevensstromen worden opgestart. Bijvoorbeeld omdat er een nieuwe app wordt gelanceerd die persoonsgegevens opvraagt.

Het is dus van belang om binnen de organisatie duidelijk te maken dat u tijdig op de hoogte wordt gebracht van wijzigingen of nieuwe projecten.

 

 

 

 

Developed by Structura. Powered by nopCommerce. Copyright 2019 Smith&Doe. Alle rechten voorbehouden.