Het register van verwerkingsactiviteiten; het verwerkingsregister is een nieuwe verplichting met ingang van de GDPR op 25 mei 2018. Onder de Wbp wordt verwacht dat je Autoriteit Persoonsgegevens (AP) in kennis stelt van het feit dat je persoonsgegevens verwerkt. Wanneer de GDPR (Nederlands: AVG, Algemene Verordening Gegevensbescherming) van kracht wordt, is het niet meer nodig om geautomatiseerde verwerkingen van persoonsgegevens vooraf aan te geven bij de Autoriteit Persoonsgegevens. Hiervoor komt het verwerkingsregister in de plaats.
Het is raadzaam om nu meteen te starten met het verwerkingsregister. Dit biedt in één oogopslag informatie die je kunt gebruiken om aan je andere verplichtingen te voldoen die uit de GDPR voortkomen, zoals het opstellen van de verwerkersovereenkomst. Het register is een document, bijvoorbeeld in Excel. Dit register moet worden opgesteld door de verantwoordelijke en de verwerker. Dit register wordt voortdurend bijgewerkt en moet informatie bevatten over de verwerking, zoals contactgegevens van de verantwoordelijken en verwerkers, de doeleinden van de verwerking en categorieën van persoonsgegevens.
Deze verplichting geldt voor sommige groepen verantwoordelijken en verwerkers van persoonsgegevens. Wanneer je aan tenminste één van onderstaande voorwaarden voldoet, is het verwerkingsregister verplicht:
- Wanneer je als organisatie meer dan 250 personen in dienst hebt;
- Wanneer je als organisatie een verwerking uitvoert dat een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Ook als er minder dan 250 personen in dienst zijn bij jouw organisatie;
- De verwerking niet incidenteel is;
- De verwerking bijzondere categorieën van gegevens betreft. Bijvoorbeeld een zorgaanbieder die medische gegevens verwerkt;
- De verwerking strafrechtelijke feiten betreft. Bijvoorbeeld advocatenkantoren die in het strafrecht zijn gespecialiseerd.
Wie is verantwoordelijke
De verantwoordelijke stelt het doel en de middelen voor de verwerking vast. Bijvoorbeeld wanneer jouw bedrijf persoonsgegevens van medewerkers verwerkt. Een salarisstrook is een voorbeeld hiervan. Het bedrijf is dan verantwoordelijk voor deze gegevens.
Wie is verwerker
De verwerker verwerkt de persoonsgegevens voor de verantwoordelijke. Bijvoorbeeld het salarisadministratiekantoor dat voor jouw bedrijf de salarissen uitbetaalt. Ook de verwerker moet een verwerkingsregister bijhouden. Dit register wijkt af van het register dat de verantwoordelijke op moet stellen; het is kleiner in omvang.
Een verwerkingsregister moet je zowel schriftelijk als in elektronische vorm opstellen. De inhoud van dit register verschilt tussen de verantwoordelijke en verwerker.
In het verwerkingsregister moet je onder andere registreren
Voor de verantwoordelijke | Voor de verwerker |
|
|
Begin alvast met het opstellen van een verwerkingsregister. De doelen voor de verwerking en het type van persoonsgegevens dat je verwerkt, helpt je bij het maken van de keuze of je genoeg passende maatregelen hebt genomen. Wanneer je bijvoorbeeld medische gegevens verwerkt en je categorie van betrokkenen bijvoorbeeld zorgcliënten is, is de keuze van je verwerker belangrijk. Het is dan wenselijk en in de meeste gevallen zelfs verplicht, een verwerker in te schakelen die NEN 7510 gecertificeerd is. Daarnaast wil je dat deze verwerker een hoger beveiligingsniveau hanteert, dan wanneer je alleen e-mailadressen laat verwerken.
Tips:
- Stel het verwerkingsregister vooral niet op per klant, maar maak één register waarin je alles van alle klanten benoemd. Keep it short!
- Denk vooral niet te moeilijk. Dit register mag je in Excel opstellen en hoeft geen speciale tool te zijn. Keep it simple!
Vragen over een verwerkingsregister? Of over de GDPR? Neem contact met ons of bezoek ons GDPR-dossier op gdpr.eshgro.nl. Hier vind je whitepapers, aankomende webinars en de laatste blogartikelen.