Als organisatie ben je verantwoordelijk voor het naleven van de AVG-privacywet en ook niet onbelangrijk: aantonen dat je de wet naleeft. Dit kun je doen door een register bij te houden waarin je de persoonsgegevens verwerkt, het zogeheten verwerkingsregister. In dit artikel lees je alle ins en outs van het verwerkingsregister: wat erin moet staan, wie het moet bijhouden en een voorbeeld van een verwerkingsregister.
Verwerkingsregister, wat moet ik documenteren?
Eén van de onderdelen van de AVG privacywet is dus het opzetten en bijhouden van een verwerkingsregister. In dit register documenteer je per verwerkingsactiviteit onder meer:
-
Wie beheert de gegevens binnen jouw bedrijf?
In de meeste gevallen is dit de directeur want hij of zij is eindverantwoordelijke. Vul hier de naam en contactgegevens in van de verantwoordelijke, eventuele gezamenlijke verantwoordelijke en indien nodig de Functionaris Gegevensbescherming (FG). -
Welke categorie persoonsgegevens verwerk je als organisatie?
Een beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens. -
Met welk doel verzamel je de persoonsgegevens?
Denk bijvoorbeeld aan adressen van klanten om ze te informeren over aankopen, arbeidsvoorwaarden, facturen, wijzigingen etc. Kortom, belangrijk dat je de doeleinden voor gegevensverwering helder documenteert. -
Met wie deel je deze persoonsgegevens?
Een beschrijving van de ontvangers. -
Wat is de bewaartermijn voor de persoonsgegevens?
-
Sla je de gegevens op in de Cloud?
Beschrijf hier dan in welk land de gegevensopslag gebeurt. Als je bij een Amerikaans bedrijf zoals Amazon en Microsoft je mailboxen hebt staan dan is dit belangrijk. Doe dan een vermelding van een verstrekking van persoonsgegevens aan een derde land of een internationale organisatie. -
En wat doe je om de gegevens veilig te versturen en bewaren?
Een beschrijving van de beveiligingsmaatregelen.
Belangrijk is dus om klanten of anderen van wie je persoonsgegevens verwerkt te laten begrijpen wat er met die gegevens gebeurt!
Hoe kan ik een verwerkingsregister bijhouden?
Voor het ontwerpen van een verwerkingsregister zijn er twee mogelijkheden. Je kan bijvoorbeeld in Excel een sjabloon maken waarin je alle persoonsgegevens verwerkt maar er zijn ook slimme tools in de markt die het denkwerk al voor je hebben gedaan. Een mooi voorbeeld daarvan is PrivacyBox.nl
Dynamisch document
Als het verwerkingsregister eenmaal is opgesteld, moet je het register continu up-to-date houden. Het is daarom raadzaam een eigenaar toe te kennen die verantwoordelijk is voor het updaten van het register, maar ook voor het aanpassen van de gegevensstromen. Na 25 mei kan de Autoriteit Persoonsgegevens het verwerkingsregister opvragen ter controle en de verantwoordelijke een forse boete geven als deze verplichting niet of onvoldoende wordt nageleefd. Tijd voor actie dus!