De belangrijkste nieuwe eis in de strengere privacywet AVG, die per 25 mei ingaat, is de verantwoordingsplicht. Dit houdt in dat je bepaalde zaken moet hebben ingericht om de naleving van de AVG aan te kunnen tonen.
Dit geldt onder andere voor het opstellen van een zogenaamd verwerkingsregister. Met het verwerkingsregister verkrijg je inzicht in welke persoonsgegevens je verwerkt binnen jouw organisatie.
Wat is een verwerkingsregister?
Het verwerkingsregister is een registratie van de persoonsgegevens die binnen jouw organisatie worden verwerkt. Afhankelijk of je verwerker of verwerkingsverantwoordelijke bent dien je minimaal bepaalde informatie vast te leggen.
Voor bijna elk mkb-bedrijf verplicht
Heeft jouw bedrijf meer dan 250 werknemers? Dan ben je verplicht een register van verwerkingen bij te houden. Heeft een bedrijf minder dan 250 werknemers in dienst, dan moet het ook over een verwerkingsregister beschikken, wanneer:
de verwerking niet incidenteel is
het waarschijnlijk is dat de verwerking die het bedrijf verricht een risico inhoudt voor de rechten en vrijheden van de betrokkenen
de verwerking bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten bevatten
Let op! Aangezien veruit de meeste verwerkingen niet incidenteel zijn, denk aan het verwerken van persoonsgegevens van medewerkers of klanten, zullen de meeste mkb-bedrijven vrijwel altijd een verwerkingsregister op moet stellen.
Vereisten verwerkingsregister
Het register van de verwerkingsverantwoordelijke moet de volgende gegevens bevatten:
de verwerkingsdoelen en de grondslagen voor verwerking
een beschrijving van de categorieën van betrokkenen
een beschrijving van de categorieën van persoonsgegevens
de verwerkers die diensten voor jou verlenen en beschikken over jouw persoonsgegevens
de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt
indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie
indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist
indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
in voorkomend geval de naam van de functionaris voor gegevensbescherming
Het register van de verwerker moet de volgende gegevens bevatten:
de naam en de contactgegevens van de verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt
de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd
indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie
indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen
in voorkomend geval de naam van de functionaris voor gegevensbescherming
Verwerkingsverantwoordelijke: een organisatie die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerker: een organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
In het geval een verantwoordelijke persoonsgegevens laat verwerken door een verwerker (denk bijvoorbeeld aan de uitbestede salarisadministratie van jouw organisatie) dan dienen de verwerkingsregisters van verantwoordelijke en verwerker op elkaar aan te sluiten. In het geval de verwerker op zijn beurt ook weer bepaalde verwerkingen uitbesteed, denk aan een SAAS-dienstverlener of een hostingpartij, dan dient de subverwerker ook een verwerkingsregister te hebben.
Welke acties moet je in gang zetten?
Het verwerkingsregister geeft inzicht in wat je hebt geregeld met betrekking tot de verwerking van persoonsgegevens. Met behulp van het ingevulde register kan je bepalen in welke proces of activiteit je zaken nog niet hebt ingeregeld, welke risico’s je mogelijk loopt en of de maatregelen die je hebt getroffen afdoende zijn. Je kunt dit ook periodiek evalueren.
Mogelijke acties op basis van het verwerkingsregister:
controleren van de gemaakte afspraken met verwerkers en mogelijk aanvullen van de verwerkersovereenkomsten
vaststellen (privacy)beleid op specifieke onderwerpen
aanvullen van verwerkingsdoelen en grondslagen van de gegevensverwerking
vaststellen bewaartermijnen en inregelen vernietiging persoonsgegevens na het verstrijken van de bewaartermijnen
controleren of de technische en organisatorische maatregelen zowel in de eigen organisatie als bij de verwerkers afdoende zijn
gebruiken van de informatie uit het verwerkingsregister om de betrokkene(n) te informeren