AVG: een verplichte registratie, maar van wat?

Als uw organisatie persoonsgegevens verwerkt dan bent u onder de Algemene Verordening Gegevensverwerking (AVG) verplicht om een verwerkingsregister bij te houden. Door de Autoriteit Persoonsgegevens – dé toezichthouder – is aangegeven om vanaf mei 2018  als de AVG in werking treedt – vooral toe te zien op het aanstellen van een Functionaris voor de Gegevensbescherming én een verwerkingsregister. Maar waar moet een dergelijk register aan voldoen en wat moet er precies in staan?

Als u als verantwoordelijke gegevens verwerkt dan verandert er voor u onder de AVG veel. U bent namelijk verplicht om het volgende op te nemen in een zogenaamd verwerkingsregister:

  • de naam en contactgegevens van uw organisatie en, als u die heeft, van uw Functionaris voor de Gegevensbescherming;
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • de categorieën van ontvangers (waaronder verwerkers) aan wie gegevens zijn of zullen worden verstrekt;
  • informatie over doorgiften aan derde landen;
  • de beoogde bewaartermijnen;
  • een beschrijving op hoofdlijnen van hoe de gegevens beveiligd zijn.

U bent verplicht om elke verwerking in het register op te nemen: structurele verwerkingen, maar ook incidentele verwerkingen.

Een uitzondering is er voor het MKB: bij incidentele verwerkingen zijn bedrijven met minder dan 250 werknemers niet verplicht om een verwerkingsregister bij te houden. Dat geldt echter alleen voor incidentele verwerkingen. Dit betekent dat – in tegenstelling tot wat vaak gesuggereerd wordt – óók het MKB structurele verwerkingen moet vastleggen in een register. Daar is al sprake van als u gegevens meer dan één keer gebruikt. En als de verwerking risicovol is voor de betrokkenen, of als het gaat om bijzondere of strafrechtelijke gegevens moeten ook incidentele verwerkingen opgenomen worden in een register.
Waar het MKB vooral op moet letten bij het opzetten van een verwerkingsregister, wordt in een van onze volgende berichten ingegaan.

Ook als u een verwerker bent, hebt u de taak om een verwerkingsregister bij te houden, zij het dat dit register minder uitgebreid hoeft te zijn dan dat van de verantwoordelijke. Het register van een verwerker moet bevatten:

  • de naam en contactgegevens van de klanten waarvoor u gegevens verwerkt;
  • de naam en de contactgegevens van eventuele subverwerkers;
  • de categorieën verwerkingen die u per klant uitvoert;
  • informatie over doorgiften aan derde landen;
  • een beschrijving op hoofdlijnen van hoe de gegevens beveiligd zijn.

De AVG geeft u als verwerker ook verplichtingen op het gebied van privacy management. Te denken valt aan verplichtingen omtrent informatiebeveiliging of het ondersteunen van de verantwoordelijke bij het naleving van de AVG en bij het nakomen van de AVG verplichtingen van de verantwoordelijke bijvoorbeeld op het gebied van datalekken of het uitvoeren van privacy impact assessments. Daarnaast zijn er goede afspraken tussen de verantwoordelijke en de verwerker nodig om gegevens op de juiste wijze te verwerken.

Wilt u op basis van dit artikel meer informatie of wilt u weten of ook u een verwerkingsregister moet opstellen of heeft u assistentie nodig bij het opstellen ervan, neemt u dan geheel vrijblijvend contact op met DIGITALconfidence via info@DIGITALconfidence.nl.

 

Neem over dit onderwerp vrijblijvend contact op met Digital Conffidence

Neem contact op