Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 is het voor organisaties verplicht om “een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden” bij te houden. Als een organisatie persoonsgegevens verwerkt, moet zij onder de huidige wetgeving deze verwerking melden bij de Autoriteit Persoonsgegevens. De Autoriteit houdt een openbaar register bij van alle meldingen. Op die manier is bekend welke organisatie persoonsgegevens verwerkt en met welk doel.
Documentatieplicht
Vanaf 25 mei 2018 hoeven organisaties de gegevensverwerkingen niet meer te melden bij de Autoriteit, maar hebben zij conform artikel 30 AVG een documentatieplicht. Dit houdt in dat een organisatie met documenten moet kunnen aantonen dat zij de juiste organisatorische en technische maatregelen heeft genomen om aan de wet te voldoen (accountability).
Let op: de meldingsplicht voor het verwerken van gegevens is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet!
Inhoud van het register
De verantwoordelijke en de verwerker zijn verplicht om een register/documentatie bij te houden van alle verwerkingen die zij uitvoeren (documentatieplicht). Wat moet er in dat register staan? Het verwerkingsregister van de verantwoordelijke bevat de volgende gegevens:
- Naam en contactgegevens van de verantwoordelijke(n), eventuele verwerker(s) en Data Protection Officer;
- De verwerkingsdoeleinden;
- Beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
- De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt;
- Eventuele doorgifte aan derde landen of internationale organisaties;
- Beoogde termijnen waarbinnen de gegevens moeten worden gewist;
- Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
De verwerker moet ook een verwerkingsregister bijhouden van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van de verantwoordelijke hebben verricht. In dit register moet onder meer het volgende worden opgenomen:
- Naam en contactgegevens van de verwerker(s) en verantwoordelijke en de eventuele Data Protection Officer;
- De categorieën van verwerkingen die zijn uitgevoerd;
- Doorgifte van persoonsgegevens aan derde landen of internationale organisaties;
- Een algemene beschrijving van technische en organisatorische beveiligingsmaatregelen.
Gratis download
Het verwerkingsregister dient schriftelijk te worden opgesteld en kan worden bijgehouden in een Excel-overview. Riskworld heeft een versie voor je gemaakt, deze kan je links van het artikel downloaden. Als het register eenmaal is opgesteld, moet deze up-to-date worden gehouden. Het is raadzaam om een eigenaar toe te kennen aan het register. Iemand die verantwoordelijk is voor het updaten van het register, maar ook voor het aanpassen van de gegevensstromen of procedures.
Naast het beperkte overzicht in Excel is het natuurlijk ook mogelijk om in overleg met de IT-afdeling een digitale omgeving aan te maken voor het bijhouden van de verwerkingen. Er kan bijvoorbeeld een systeem worden opgezet die ook meldingen geeft vanuit gegevensverwerkende processen indien nieuwe soort gegevens worden verwerkt.
Heb je aanvullingen? Laat het ons weten!
Disclaimer: Dit verwerkingsregister is niet goedgekeurd door de Autoriteit Persoonsgegevens en geeft slechts een indicatie.
Bron: Riskworld, Autoriteit Persoonsgegevens, PMPartners
Download bijlagen
Je moet lid zijn van Riskworld om bijlagen te downloaden. of .