Stap 6. Register van verwerkingsactiviteiten
Hoe moet ik mijn gegevensverwerking bijhouden in een register?
Als verwerkingsverantwoordelijke moet je aan de Autoriteit Persoonsgegevens kunnen laten zien dat je aan de AVG voldoet. Het bijhouden van een register van al je verwerkingsactiviteiten is daar een belangrijk onderdeel van. Het register is onderdeel van je verantwoordingsplicht. Het is een hulpmiddel om zicht te hebben op de persoonsgegevens die je verwerkt. Het is ook een overzicht dat je beschikbaar moet hebben, als de toezichthouder erom vraagt.
Wanneer moet je register bijhouden?
Het bijhouden van een Register is verplicht:
- als je meer dan 250 personen in dienst hebt, of
- als je verwerkingen uitvoert met een hoog risico voor de Betrokkenen, of
- als je bijzondere persoonsgegevens verwerkt (zoals gezondheidsgegevens), of
- als de verwerking niet incidenteel is.
Omdat de verwerking van persoonsgegevens in het kader van de advisering en bemiddeling structureel van aard is en je veelal ook bijzondere gegevens verwerkt, ben je verplicht een register bij te houden, ook al heb je minder dan 250 personen in dienst.
Wat moet je bijhouden in het register als je verwerkingsverantwoordelijke bent?
Het opstellen van het Register is vorm-vrij; je mag zelf weten hoe je het Register opstelt. Wel ben je verplicht de volgende elementen in het Register op te nemen:
- naam en contactgegevens van je bedrijf
- naam en contactgegevens van de Functionaris Gegevensbescherming (indien aangesteld) of andere contactpersoon namens je bedrijf
- de doeleinden van de gegevensverwerkingen
- de categorieën Betrokkenen van wie persoonsgegevens worden verwerkt
- de categorieën van persoonsgegevens die worden verwerkt (soort persoonsgegevens)
- de categorieën ontvangers aan wie persoonsgegevens zijn of worden verstrekt
- derde landen of internationale organisaties aan wie persoonsgegevens worden doorgegeven (indien van toepassing)
- de beoogde bewaartermijnen van persoonsgegevens
- algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
Het is niet verplicht om de grondslag(en) voor de gegevensverwerking en opslaglocaties in het Register op te nemen. Dit is wel aan te raden om een compleet van de gegevensverwerking op te stellen.
Wat moet je bijhouden in het register als je Verwerker bent?
Ook een Verwerker dient een (beperkt) register van verwerkingsactiviteiten op te stellen. Het opstellen van het Register is vorm-vrij; je mag zelf weten hoe je het Register opstelt. Wel ben je verplicht de volgende elementen in het Register op te nemen:
In het Register dient de te worden opgenomen:
- naam en contactgegevens van je bedrijf
- naam en contactgegevens van de Functionaris Gegevensbescherming (indien aangesteld)
- naam en contactgegevens van iedere Verwerkingsverantwoordelijke voor wie je werkt
- categorieën van verwerkingen die je voor iedere Verwerkingsverantwoordelijke uitvoert
- derde landen of internationale organisaties aan wie persoonsgegevens worden doorgegeven (indien van toepassing)
- algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (conform de inhoud van de verwerkersovereenkomst).
Model register
Het Register moet in een schriftelijke vorm worden opgesteld. Hieronder valt ook een elektronische vorm, dat als voordeel heeft dat het Register eenvoudig actueel te houden is.
We hebben een model register voor je ontwikkeld dat aan de gestelde eisen voldoet als je het goed invult. Je kunt het model register hier downloaden.
Hoe moet ik het register bijhouden?
Als je een verwerkingsactiviteit wijzigt of een nieuwe verwerkingsactiviteit start, moet je dit bijhouden in het register. Het is aan te bevelen om ook een oud Register/ oude versie van het register te bewaren om in voorkomende gevallen te kunnen aantonen aan de toezichthouder dat je het register bijhoudt.