Search
Close this search box.
mr. Hester Spaans

mr. Hester Spaans

Co-founder & General Legal Counsel

Checklist AVG: heb je een verwerkingsregister nodig?

De AVG brengt diverse administratieve taken met zich mee om te laten zien dat je serieus omgaat met de privacy van anderen. Een van die taken is het bijhouden van wat je doet met persoonlijke gegevens. Dit wordt vastgelegd in een register, ook wel bekend als een verwerkingsregister

Hint: ook als je een kleine ondernemer bent of als zzp’er aan de slag gaat, moet je in 99% van alle gevallen een verwerkingsregister bijhouden.

AVG verwerkingsregister: altijd verplicht?

In de meeste situaties schrijft de Algemene Verordening Gegevensbescherming (AVG) voor dat er een register van verwerkingsactiviteiten moet worden bijgehouden, ook wel bekend als de documentatieplicht. Als uitgangspunt geldt dat een register in principe noodzakelijk is als jouw onderneming meer dan 250 werknemers heeft. Heb je minder dan 250 werknemers in dienst, dan is een register alsnog verplicht als er sprake is van een van de onderstaande situaties: 

  • De verwerking van persoonsgegevens is niet incidenteel. 
  • Je verwerkt bijzondere persoonsgegevens.
  • Jouw organisatie houdt zich bezig met risicovolle verwerkingen. Denk onder meer aan de verwerking van grote hoeveelheden persoonsgegevens.

Kort gezegd, komt het erop dat alleen als je een kleine organisatie bent die vrijwel nooit iets met persoonsgegevens doet, je geen verwerkingsregister hoeft bij te houden. 

Vrijstelling verwerkingsregister AVG

De realiteit is dus dat de ‘kleine ondernemer’ uitzondering maar zelden opgaat. Dat heeft er vooral mee te maken dat verwerkingen, volgens de Autoriteit Persoonsgegevens, vrijwel nooit incidenteel zijn:

“ Let op: In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners.”

Het verwerken van persoonsgegevens van een aantal van je opdrachtgevers wordt dus al niet meer als incidenteel beschouwd. Hierdoor is de vrijstelling eigenlijk nooit van toepassing (sorry, leuker kunnen we het niet maken).

Verantwoordingsplicht onder de AVG

Het invullen en bijhouden van een verwerkingsregister is onderdeel van jouw verantwoordingsplicht onder de AVG. Deze verantwoordingsplicht houdt in dat je moet kunnen aantonen dat jouw manier van omgaan met persoonsgegevens aan de privacyregels voldoet.

Als de Autoriteit Persoonsgegevens aan je deur klopt, moet je dus kunnen vertellen wat je met de persoonsgegevens hebt gedaan en hoe je daarbij rekening hebt gehouden met de AVG. Daarvoor moet je in ieder geval een aantal aantal documenten kunnen overleggen, waaronder:

Wat moet er in een verwerkingsregister staan?

Je kunt een verwerkingsregister zelf opzetten (in een Excel-bestandje) of gebruik maken van softwarepartijen die een tool aanbieden. Hoe je het ook wilt insteken, het volgende moet in ieder geval in je verwerkingsregister staan (ervan uitgaande dat je het register als verwerkingsverantwoordelijke invult):

  • Naam en contactgegevens van jouw organisatie (inclusief de naam van de DPO als die aanwezig is);
  • Doeleinden van de gegevensverwerking;
  • Categorieën van betrokkenen (de personen van wie je gegevens verwerkt, zoals klanten, websitebezoekers en / of werknemers);
  • Categorieën persoonsgegevens;
  • Categorieën ontvangers aan wie je persoonsgegevens verstrekt;
  • Informatie over de eventuele doorgifte van persoonsgegevens aan organisaties buiten de EU;
  • Beveiligingsmaatregelen die je hebt genomen;
  • Bewaartermijnen.

Hulp nodig van onze privacy-juristen?

Onze juristen zijn gespecialiseerd in het privacyrecht en helpen op wekelijkse basis bedrijven bij het oplossen van privacygerelateerde vraagstukken. In een tijd waarin privacybescherming een steeds grotere rol speelt, is het essentieel voor bedrijven om te voldoen aan de geldende privacywetgeving en de persoonsgegevens van klanten en werknemers adequaat te beschermen.

Onze hulp nodig? Neem gerust contact met ons op voor een vrijblijvende kennismaking.

Legal support nodig?

Neem contact met ons op

Scroll naar boven

mr. Hester Spaans

Co-founder & General legal consultant

Hester is een van de oprichters van Spaans&Spaans en werkt als General Legal Consultant. Ze heeft meerdere masters in het recht afgerond aan de Universiteit van Amsterdam en het voorrecht gehad een half jaar aan de University of Hong Kong te mogen studeren. Gefrustreerd over de stoffige juridische wereld, besloot ze destijds het heft in eigen hand te nemen en als ondernemer te starten. 

Inmiddels werkt ze al zo’n 5 jaar bij Spaans&Spaans en heeft ze honderden ondernemers mogen bijstaan met vraagstukken op het snijvlak van IT en recht.

Haar passie voor tech (en met name web3!) is van grote waarde bij het ‘vertalen’ van juridische regelgeving op het gebied van ICT/internet-en privacyrecht naar de dagelijkse technische realiteit. Klanten omschrijven haar als doortastend, vakkundig en pragmatisch. Om haar kennis op peil te houden is ze o.a. lid van de Vereniging voor Auteursrecht. 

mr. Lucia Spaans

Co-founder & Privacy officer

Lucia is mede-oprichter van Spaans&Spaans en werkt gedreven samen met het team aan het leveren van onze juridische diensten op top niveau.

Ze is enorm gemotiveerd en een perfectioniste (soms, oké, dikwijls, op het irritante af) die alles tot in de puntjes geregeld wil zien. Haar passie voor het recht kwam al naar voren tijdens haar studietijd in Amsterdam, waar ze ervoor koos om twee juridische masters te volgen. Het liefst controleert ze alle juridische stukken en correspondentie die dagelijks bij Spaans&Spaans de deur uitgaan meerdere malen, zodat de cliënt er zeker van kan zijn dat alles perfect geregeld is.

Verder is ze een groot fan van koffie, reist ze graag en is ze actief als gitariste (ja, echt).