Is uw organisatie verplicht een verwerkingsregister bij te houden?

Geschreven door Simone Dirven, onze specialist op het het gebied van privacyrecht.

In de Wbp was de verplichting opgenomen voor verantwoordelijken om de gegevensverwerking te melden bij de toezichthouder. De meldplicht komt in de AVG te vervallen. Daarvoor in de plaats is in de AVG het begrip accountability opgenomen, wat betekent dat verantwoordelijken aantoonbaar moeten maken dat ze compliant zijn en de regels van de AVG dus naleven en hoe ze dat doen. In dit blog leg ik uit wanneer zo’n register moet worden bijgehouden en door wie, wat er in het register moet worden opgenomen en welke eisen er worden gesteld aan het register.

Wanneer moet een verwerkingsregister worden bijgehouden? Bij iedere verwerking moet een register in beginsel worden bijgehouden. Wat onder ‘verwerken’ valt, is heel breed. Artikel 4 lid 2 van de AVG bepaalt: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens“. De verplichting geldt alleen voor ondernemingen of organisaties die meer dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is of de verwerking bijzondere categorieën van persoonsgegevens (zoals medische gegevens of strafrechtelijke gegevens) betreft.

Wie moet een verwerkingsregister bijhouden? De verplichting geldt zowel voor de verantwoordelijke (degene die alleen of samen met anderen het doel en de middelen van de gegevensverwerking bepaalt) als de verwerker (degene die ten behoeve van de verantwoordelijke verwerkt). Wat moet er in het register worden bijgehouden door een verantwoordelijke? In artikel 30 van de AVG is bepaald wat een register van een verantwoordelijke moet bevatten:  1. de naam en contactgegevens van de verantwoordelijke en eventueel van de vertegenwoordiger van de verantwoordelijke en van de Functionaris Gegevensbescherming; 2.  de doeleinden van de verwerking; 3. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; 4. de categorieën van de ontvangers van die de persoonsgegevens zijn of zullen worden verstrekt; 5. eventuele doorgifte aan derde landen en of deze derde landen passende waarborgen bieden of niet; 6. indien mogelijk de beoogde termijnen waarbinnen de verschillende categorieën worden gewist; 7. indien mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen;

Wat moet er in het register worden bijgehouden door een verwerker? De verplichtingen voor een verwerker zijn iets anders: a. de naam en contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en eventuele Functionaris Gegevensbescherming; b. de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke worden uitgevoerd; c. indien van toepassing doorgiften van persoonsgegevens aan derde landen; d. indien mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen;

Welke eisen worden gesteld aan de vorm van het register? Volgens de AVG moet het register in schriftelijke vorm, waaronder in elektronische vorm, worden opgesteld. Het gaat erom dat u kunt aantonen wat u doet om de AVG na te leven om op die manier te voldoen aan uw accountabilityverplichting. De toezichthouder zal bij een eventuele controle willen zien of u uw zaakjes op orde heeft. Er kan altijd iets misgaan met een verwerking of een datalek ontstaan, dat kunt u niet voorkomen. U kunt er wel voor zorgen dat u alles netjes heeft vastgelegd, om aan te tonen dat u wel alles heeft gedaan om compliant te zijn. Uiteraard kan ik u helpen met het opstellen van een register en het formuleren van bedrijfsprocedures waardoor het register ook goed wordt bijgehouden. Uw medewerkers moeten weten waar ze terecht kunnen met vragen of in geval van wijzigingen.

 

 

Share this article

Comments are closed.