Het register van verwerkingsactiviteiten; noodzaak én nut

Valegis Advocaten telt met u af naar 25 mei 2018. Hierbij deel 7 in een reeks blogs over de nieuwe privacywetgeving.

Het register van verwerkingsactiviteiten; noodzaak én nut. | ValegisZoals u weet legt de Algemene verordening gegevensbescherming (AVG) een aantal nieuwe verplichtingen op aan ondernemers. Een heel belangrijke daarvan is dat u moet kunnen laten zien dat u zich aan alle (overige) privacyregels houdt. Dit noemen we de ‘verantwoordingsplicht’ of ‘accountability’.

Hoe u dat doet? Dat staat -uiteraard- in de AVG.

Er is een aantal verplichte maatregelen die u zal moeten treffen, dat zijn de volgende.

  • U zal een register van verwerkingsactiviteiten moeten bijhouden;
  • U zal een data protection impact assessment (DPIA) moeten uitvoeren voor gegevensverwerkingen met een hoog risico voor de privacy;
  • U zal een register van datalekken moeten bijhouden;
  • U zal moeten aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking (wanneer dit de grondslag is);
  • U zal moeten onderbouwen waarom u ervoor gekozen hebt om al dan niet een Functionaris voor gegevensbescherming (FG) aan te stellen.

Het opstellen van een register van verwerkingsactiviteiten is één van de genoemde ‘verplichte maatregelen’. Er wordt wel gezegd dat dit register niet verplicht is voor organisaties met minder dan 250 medewerkers, maar dat klopt niet helemaal. Ook kleine organisaties moeten een register bijhouden wanneer deze bijzondere persoonsgegevens of gegevens die een hoog risico inhouden verwerkt, òf wanneer de verwerking niet incidenteel is. In de praktijk is hiervan bijna nooit sprake; een personeels- of klantenadministratie is bijvoorbeeld al een niet-incidentele verwerking. Bijna iedere organisatie zal dus een verwerkingsregister moeten bijhouden.

Wat staat er in het register?

In het register neemt u informatie op over de persoonsgegevens die u verwerkt. Wat daar in moet staan hangt ervan af of u een ‘verwerkingsverantwoordelijke’ of een ‘verwerker’ bent. De verwerkingsverantwoordelijke is de organisatie die zelf het doel en de middelen voor de verwerking vaststelt.

De verwerkingsverantwoordelijke moet onder meer de volgende gegevens in het register opnemen:

  • De naam en de contactgegevens van de verwerkingsverantwoordelijke en de FG (indien aanwezig);
  • De verwerkingsdoeleinden;
  • Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  • Indien van toepassing, doorgiften van persoonsgegevens aan landen of organisaties buiten de EU;
  • De bewaartermijnen (indien bekend);
  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

De verwerker voert slechts de opdracht van de verwerkingsverantwoordelijke uit en stelt niet zelf het doel en de middelen vast. Dat hoeft dan ook niet in het register opgenomen te worden. Wel moet bijvoorbeeld worden opgenomen wie de verwerkingsverantwoordelijke is, welke categorieën persoonsgegevens worden verwerkt en welke beveiligingsmaatregelen zijn getroffen.

Hoe ziet het register eruit?

Volgens de AVG moet het register in schriftelijke vorm (waaronder ook elektronisch wordt verstaan) worden opgesteld. Verder zijn er geen vormvoorschriften, dus het zou bijvoorbeeld een speciaal daarvoor gemaakt (online)programma, maar ook een Excelbestand of zelfs een schriftje kunnen zijn. Van belang is dat het ‘met één druk op de knop’ tevoorschijn gehaald kan worden wanneer de Autoriteit Persoonsgegevens daarom vraagt.

Ten slotte

Natuurlijk kunnen wij u helpen aan uw verantwoordingsplicht te voldoen door u te assisteren bij het opstellen van een verwerkingsregister.

Hebt u nog vragen over dit onderwerp? Het privacyrecht team van Valegis Advocaten staat altijd voor u klaar.

Dit artikel is geschreven door Natascha Niewold.

De Autoriteit Persoonsgegevens en de boetebevoegdheid | Valegis AdvocatenDe rechten van betrokkenen: doos van Pandora? | Valegis Advocaten