Het verwerkingsregister (AVG)
Het verwerkingsregister is een logboek voor al je gegevensverwerkingen.
- LEGAL COUNSELS OF THE FUTURE: +31 (0) 20 261 9633
Menu
Wat is een verwerkingsregister?
Op het moment dat je als organisatie persoonsgegevens verwerkt, val je onder de Algemene Verordening Gegevensbescherming (AVG) en dien je rekening te houden met het privacyrecht. Dit betekent onder meer dat je een privacyverklaring zult moeten opstellen, verwerkersovereenkomsten gaat sluiten en er een verantwoordingsplicht op je rust. Uit deze verantwoordingsplicht vloeit onder andere voort dat je een register dient bij te houden over de verwerking van persoonsgegevens. Denk aan: NAW-gegevens, maar ook betaalgegevens of IP-adressen. Je vermeldt in het register tevens waarom je deze gegevens verwerkt. Bijvoorbeeld omdat je pakketten verzendt of omdat je een cursus aanbiedt. Het verwerkingsregister is dus eigenlijk een soort logboek voor al je gegevensverwerkingen. Het is belangrijk dat je weet welke gegevens je verwerkt, want alleen op die manier kun je nagaan of deze verwerking in overeenstemming met het privacyrecht plaatsvindt. Als je het verwerkingsregister goed bijhoudt, kun je makkelijk nagaan of de verwerking van bepaalde gegevens wel toegestaan is. Daarnaast is het verwerkingsregister ook belangrijk voor eventuele controles door de Autoriteit Persoonsgegevens (AP). Als de AP wil controleren of jouw verwerking van persoonsgegevens wel in overeenstemming met de AVG plaatsvindt, moet je het register kunnen laten zien.
Is een verwerkingsregister verplicht onder de AVG?
Als uitgangspunt geldt dat wanneer jouw organisatie meer dan 250 werknemers heeft, je een register zal moeten bijhouden. Heb je minder dan 250 werknemers in dienst? Dan moet je alsnog een register bijhouden als er sprake is van een van de onderstaande situaties:
- De verwerking van persoonsgegevens is niet incidenteel. Let op: het is erg onwaarschijnlijk dat je als organisatie “incidenteel” persoonsgegevens verwerkt.
- Je verwerkt gegevens die vallen onder de categorie “bijzondere persoonsgegevens”. Dat zijn gegevens die extra gevoelig zijn, zoals gegevens over iemands gezondheid, etniciteit, godsdienst, enzovoorts.
- Jouw organisatie houdt zich bezig met risicovolle verwerkingen. Denk onder meer aan de verwerking van grote hoeveelheden persoonsgegevens.
Let op: we zien dat organisaties, in de praktijk, maar zelden ontkomen aan de verplichting om een register op te stellen. Dit bekent dat je, onder de AVG, vrijwel altijd verplicht bent om een register van verwerkingsactiviteiten bij te houden.
Verwerkingsregister: wat moet erin staan?
Laten we vooropstellen dat “het verwerkingsregister” niet bestaat. Zowel de verwerkingsverantwoordelijke als de verwerker is namelijk verplicht om een register bij te houden. Wanneer jouw organisatie beide rollen vervuld, zul je dus twee registers moeten opstellen (een register voor jouw rol als verantwoordelijke én een register voor jouw rol als verwerker). Wat er precies in een verwerkingsregister hoort te staan, hangt af van de rol die jouw organisatie op zich neemt.
Verwerkingsregister voor verwerkingsverantwoordelijke
In het verwerkingsregister voor een verantwoordelijke hoort de volgende informatie te staan:
- Naam en contactgegevens van jouw organisatie (inclusief de naam van de DPO als die aanwezig is);
- Doeleinden van de gegevensverwerking;
- Categorieën van betrokkenen (de personen van wie je gegevens verwerkt, zoals klanten, websitebezoekers en / of werknemers);
- Categorieën persoonsgegevens;
- Categorieën ontvangers aan wie je persoonsgegevens verstrekt;
- Informatie over de eventuele doorgifte van persoonsgegevens aan organisaties buiten de EU;
- Beveiligingsmaatregelen die je hebt genomen;
- Bewaartermijnen.
Verwerkingsregister voor verwerker
In het verwerkingsregister voor een verwerker hoort de volgende informatie te staan:
- Naam en contactgegevens van jouw organisatie en van de verwerkingsverantwoordelijke (inclusief de naam van de DPO als die aanwezig is);
- Categorieën van verwerkingen (een beschrijving van de categorieën van verwerkingen die jij als verwerker ten behoeve van de verwerkingsverantwoordelijke uitvoert);
- Informatie over de eventuele doorgifte van persoonsgegevens aan organisaties buiten de EU;
- Beveiligingsmaatregelen die je hebt genomen.
Moet ik mijn verwerkingsregister openbaar maken?
Het verwerkingsregister is bestemd voor intern gebruik. Het is dus uitdrukkelijk niet de bedoeling dat je het register zomaar openbaar maakt. Slechts wanneer de AP hierom vraagt, zal je jouw register moeten laten zien. Als je het register niet hebt (of niet correct hebt bijgehouden), kan de AP besluiten om een boete op te leggen. Hoe hoog zo’n boete uitvalt, hangt onder andere af van de ernst van de overtreding. Het is dus, kort gezegd, belangrijk dat je als organisatie een verwerkingsregister bijhoudt, omdat het register kan worden opgevraagd door de AP.
Verwerkingsregister maken: hoe doe je dat?
Organisaties mogen in beginsel zelf bepalen op welke manier ze hun verwerkingsregister willen bijhouden. De AP geeft wel als advies om “voor een overzichtelijke bestand te zorgen van alle verwerkingen en persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.” In de praktijk zien we dat organisaties vaak kiezen voor een Excel-bestand of een online tool waarin de verwerkingen worden bijgehouden.
Hulp van onze privacy-juristen bij het invullen van je verwerkingsregister(s)
Onze juristen zijn gespecialiseerd in het privacyrecht en helpen je graag bij het in kaart brengen van de datastromen binnen jouw bedrijf en het invullen van jouw verwerkingsregister(s).
Meer weten? Neem gerust contact met ons op.
mr. Hester Spaans
Co-founder & General Legal Counsel
Neem contact met ons op
Spaans&Spaans V.O.F.
We zijn gevestigd op de Vijzelstraat 68 (1017 HL) in het mooie Amsterdam en sinds 2018 ingeschreven in het register van de Kamer van Koophandel onder nummer: 71533230.
Ons BTW-nummer: NL858752530B01.
020 261 9633
Spaans&Spaans V.O.F.
Vijzelstraat 68
1017 HL, Amsterdam
KvK: 71533230
BTW-nummer: NL858752530B01