Wanneer de Autoriteit Persoonsgegevens om inzage vraagt, moet je kunnen laten zien hoe je verantwoordelijk omgaat met persoonlijke gegevens. Dit doe je door middel van een verwerkingsregister. Het verwerkingsregister mag zowel in elektronische als schriftelijke vorm worden bijgehouden. Wij adviseren om het in ieder geval in elektronisch vorm bij te houden zodat je eenvoudig wijzigingen in de verwerkingen van persoonsgegevens kunt doorvoeren!
Wat moet er in een verwerkingsregister staan?
Net als bij de verwerkersovereenkomsten gaat het weer om hoe, wat, wie, waarom en wanneer. Punten die in een verwerkingsregister moeten staan zijn:
- Naam en contactgegevens van je bedrijf en de persoon die de persoonsgegevens beheert. In de meeste gevallen is dit de directeur want hij of zij is eindverantwoordelijke. Vul hier de naam en contactgegevens in van de verantwoordelijke, eventuele gezamenlijke verantwoordelijke en indien nodig de Functionaris Gegevensbescherming.
- Eventuele andere organisaties waarmee je persoonsgegevens deelt.
- Doeleinden waarvoor je persoonsgegevens verwerkt. Denk bijvoorbeeld aan adressen van klanten om ze te informeren over aankopen, arbeidsvoorwaarden, facturen, wijzigingen etc. Kortom, belangrijk dat je de doeleinden voor gegevensverwering helder documenteert.
- Een heldere beschrijving van de categorieën persoonsgegevens.
- De datum, indien bekend, waarop je persoonsgegevens weer moet wissen.
- Categorieën van ontvangers aan wie je persoonsgegevens verstrekt.
- Of je persoonsgegevens deelt met een lang of organisatie buiten de EU.
- Een beschrijving van de organisatorische en technische maatregelen die je als bedrijf hebt genomen om persoonsgegevens te beveiligen. Wat doe je om de gegevens veilig te versturen en bewaren?
