AVG register van verwerking

AVG: hoe maak ik een register van verwerkingen?

Artikel

Expertise: Cyber security en privacy
Onderwerp: AVG
Laatste update: 08 mei 2018
Gepubliceerd: 08 mei 2018

Nog 2,5 week en dan is de strengere privacywet AVG van toepassing. De belangrijkste nieuwe eis is de verantwoordingsplicht. Dit houdt in dat u bepaalde zaken moet hebben ingericht om de naleving van de AVG aan te kunnen tonen. Dit geldt onder andere voor het opstellen van een zogenaamd verwerkingsregister. Met het verwerkingsregister verkrijgt u inzicht in welke persoonsgegevens u verwerkt binnen uw organisatie.

Wat is een verwerkingsregister?

Het verwerkingsregister is een registratie van de persoonsgegevens die binnen uw organisatie worden verwerkt. Afhankelijk of u verwerker of verwerkingsverantwoordelijke bent dient u minimaal bepaalde informatie vast te leggen. Een verwerkingsverantwoordelijke is een organisatie die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verwerker is een organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Vereisten verwerkingsregister

Het register van de verwerkingsverantwoordelijke moet de volgende gegevens bevatten:

  • de verwerkingsdoelen en de grondslagen voor verwerking;
  • een beschrijving van de categorieën van betrokkenen;
  • een beschrijving van de categorieën van persoonsgegevens;
  • de verwerkers die diensten voor u verlenen en beschikking over uw persoonsgegevens;
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  • indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie;
  • indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
  • indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen;
  • in voorkomend geval de naam van de functionaris voor gegevensbescherming.

Het register van de verwerker moet de volgende gegevens bevatten:

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt;
  • de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie;
  • indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen ;
  • in voorkomend geval de naam van de functionaris voor gegevensbescherming.

In het geval een verantwoordelijke persoonsgegevens laat verwerken door een verwerker (denk bijvoorbeeld aan de uitbestede salarisadministratie van uw organisatie), dan dienen de verwerkingsregisters van verantwoordelijke en verwerker op elkaar aan te sluiten. In het geval de verwerker op zijn beurt ook weer bepaalde verwerkingen uitbesteed (denk aan een SAAS-dienstverlener of een hostingpartij), dan dient de subverwerker ook een verwerkingsregister te hebben.

Voorbeeld register van verwerkingen

Wij hebben een voorbeeld register van verwerking gemaakt die u kunt gebruiken of waarin u kunt zien hoe u een eenvoudige tabel of spreadsheet op kunt zetten. Bovenaan de kolommen staan de categorieën van gegevens vermeld die u per proces dient te registeren. Ook maakt u hiermee inzichtelijk welke partijen (verwerkers) beschikken over uw persoonsgegevens en welke maatregelen u heeft getroffen om deze te beschermen.

Welke acties moet u in gang zetten?

Het verwerkingsregister geeft u inzicht in wat u heeft geregeld met betrekking tot de verwerking van persoonsgegevens. Met behulp van het ingevulde register kunt u bepalen in welke proces of activiteit u zaken nog niet heeft ingeregeld, welke risico’s u mogelijk loopt en of de maatregelen die u heeft getroffen afdoende zijn. U kunt dit ook periodiek evalueren. Mogelijke acties op basis van het verwerkingsregister:

  • controleren van de gemaakte afspraken met verwerkers en mogelijk aanvullen van de verwerkersovereenkomsten;
  • vaststellen (privacy)beleid op specifieke onderwerpen;
  • aanvullen van verwerkingsdoelen en grondslagen van de gegevensverwerking;
  • vaststellen bewaartermijnen en inregelen vernietiging persoonsgegevens na het verstrijken van de bewaartermijnen;
  • controleren of de technische en organisatorische maatregelen zowel in uw eigen organisatie als bij uw verwerkers afdoende zijn;
  • gebruiken van de informatie uit het verwerkingsregister om de betrokkene(n) te informeren.

Meer weten of heeft u vragen?

Wij kunnen u helpen om AVG-proof te worden. DRV heeft speciaal opgeleide adviseurs op het gebied van privacy, de AVG en cyber security. Wilt u meer weten of heeft u een vraag? Laat hier uw contactgegevens achter.