Register van de verwerkingsactiviteiten - Bernhaege Advocaten

In mijn eerdere blogberichten schreef ik reeds over de enkele gevolgen van de nieuwe privacywet. Op 25 mei 2018 treedt namelijk de Algemene verordening gegevensbescherming (AVG) in werking ter vervanging van de huidige Wet bescherming persoonsgegevens.

Op grond van de nieuwe privacy wet hebben ondernemingen een documentatieplicht om aan te tonen dat aan de AVG wordt voldaan. Daarom zullen de meeste organisaties een register van de verwerkingsactiviteiten moeten gaan bijhouden, ook wel het dataregister of verwerkingsregister genoemd. En dat geldt waarschijnlijk ook voor uw organisatie. Er is namelijk wel een uitzondering gemaakt voor verwerkingsverantwoordelijken met minder dan 250 personeelsleden, die uitzondering is niet van kracht indien het gaat:

  • om risicovolle verwerkingen;
  • verwerkingen van bijzondere persoonsgegevens (waaronder gegevens over gezondheid, godsdienst of politieke opvattingen) of strafrechtelijke persoonsgegevens; of
  • persoonsgegevens worden verwerkt waarvan de verwerking niet incidenteel is.

Door dat laatste punt lijkt de uitzondering die was opgenomen om met name het MKB tegemoet te komen een “wassen neus” te zijn geworden, omdat de verwerking al snel niet meer incidenteel is. En als uw onderneming dus een verwerkingsregister moet bijhouden, welke informatie moet daarin dan (minimaal) zijn opgenomen.

Verwerkingsverantwoordelijke

Stelt u zelf het doel en de middelen van een verwerking van persoonsgegevens vast, dan bent u de zogenoemde verwerkingsverantwoordelijke. In dat geval zal het verwerkingsregister de volgende informatie moeten bevatten:

  • de naam en contactgegevens van:
    • de organisatie als verwerkingsverantwoordelijke of de vertegenwoordiger indien de verantwoordelijke buiten de EU is gevestigd;
    • de eventueel andere gezamenlijke verwerkingsverantwoordelijken als de doelen en middelen van de verwerking gezamenlijk worden bepaald;
    • de functionaris voor de gegevensbescherming (indien aanwezig);
    • de eventueel andere (internationale) organisaties waarmee de persoonsgegevens worden verdeeld;
  • de doeleinden van iedere verwerking (gebruikt u de gegevens voor direct marketing, de werving en selectie van personeel, het bezorgen van producten, het leveren van diensten etc.);
  • de categorieën van betrokkenen (zijn het klanten, patiënten, websitebezoekers, werknemers, potentiële werknemers etc.) en gegevens (zijn het NAW-gegevens, telefoonnummers, beelden, IP-adressen, contactgegevens, betaalgegevens etc.);
  • de categorieën van eventuele ontvangers (aan wie gegevens extern worden verstrekt);
  • de informatie over eventuele doorgifte naar landen buiten de EU;
  • de beoogde bewaartermijnen van de gegevens;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die u hebt genomen voor de beveiliging van de gegevens (gebruikt u bijvoorbeeld: encryptie, logische toegangscontrole, beperking van de toegang, pseudonimisering etc.).

Verwerker

Verwerkt u de persoonsgegevens ten behoeve van een verwerkingsverantwoordelijke, dan zal u een register van de verwerkingsactiviteiten per verantwoordelijke waarvoor u werkt moeten bijhouden. Dat verwerkingsregister zal de volgende informatie moeten ontvangen:

  • de naam en contactgegevens van
    • de organisatie als verwerker en de betreffende verantwoordelijke (of hun vertegenwoordigers)
    • de functionaris voor de gegevensbescherming (indien aanwezig);
  • de categorieën verwerkingen (dit komt overeen met de doeleinden uit het register van de verantwoordelijke);
  • de informatie over eventuele doorgifte naar landen buiten de EU;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn genomen voor de beveiliging van de gegevens.

Goed uitgangspunt

Het opstellen van het verwerkingsregister is in veel gevallen een goede eerste stap om te overzien welke verwerkingen er in een organisatie voorkomen, zodat u ook weet waar u nog actie moet ondernemen. Het benodigde privacy beleid en een te hanteren privacyverklaring kunnen hierop dan, naast de overige verplichtingen uit de AVG, worden afgestemd.

Heeft u voor die tijd dringende vragen op dit gebied, dan kunt u uiteraard ook altijd contact opnemen met ons kantoor door te mailen naar info@bernhaege.nl, of bel direct ons kantoor in Veghel 0413 – 35 22 11 of ons kantoor in Oss 0412 – 76 02 27.