Met de nieuwe privacywetgeving zijn veel organisaties verplicht om een verwerkingsregister op te stellen en bij te houden. Hiermee voldoet een organisatie aan de verantwoordingsplicht. Het register maakt duidelijk waar de eventuele risico’s binnen de organisatie liggen. Het verwerkingsregister heeft als voordeel dat inzichtelijk wordt welke verwerkingen niet in overeenstemming zijn met de privacyregelgeving. Bent u verplicht om een verwerkingsregister te hebben? En zo ja: op welke wijze kan deze accuraat worden opgesteld?

 

Zo stelt u een goed verwerkingsregister op! | Audittrail

Is uw organisatie verplicht om een verwerkingsregister te hebben?

Uw organisatie is verplicht een verwerkingsregister op te stellen wanneer ze meer dan 250 medewerkers in dienst heeft. In beginsel geldt de uitzondering dat een organisatie geen verwerkingsregister hoeft op te stellen wanneer zij minder dan 250 medewerkers in dienst heeft. Echter, de verplichting geldt alsnog wanneer sprake is van verwerking van persoonsgegevens die risico’s met zich meebrengen voor de betrokkenen (lees: uw klanten), ook als er minder dan 250 medewerkers in dienst zijn. Wanneer uw organisatie structureel gevoelige of bijzondere of strafrechtelijke persoonsgegevens verwerkt geldt eveneens de verplichting om een verwerkingsregister op te stellen.

Wanneer uw organisatie verplicht is om een verwerkingsregister bij te houden, is ze verplicht medewerking te verlenen aan verzoeken van de Autoriteit Persoonsgegevens. De verwerkingsverantwoordelijke (onder de Wbp ‘verantwoordelijke’) dient desgevraagd het register ter beschikking te stellen.

Wanneer een organisatie niet verplicht is om een verwerkingenregister bij te houden, is het alsnog raadzaam een verwerkingsregister op te stellen. Met het register krijgt de organisatie inzichtelijk welke verwerkingen niet in overeenstemming zijn met de privacyregelgeving. Daarnaast hebben de betrokkenen met de komst van de nieuwe privacyregelgeving meer rechten gekregen, waaronder het recht om informatie te krijgen over de verwerking van hun persoonsgegevens. Dit is enkel te realiseren wanneer uw organisatie zelf inzichtelijk heeft welke persoonsgegevens worden verwerkt.

 

Welke eisen stelt de Algemene Verordening Gegevensbescherming aan het verwerkingsregister?

In het register moeten minimaal de volgende onderwerpen beschreven worden:

  • de eigen naam van de organisatie;
  • de contactgegevens van de gezamenlijke verantwoordelijke, indien hiervan sprake is;
  • de naam en de contactgegevens van de functionaris voor gegevensbescherming, indien hiervan sprake is;
  • de verwerkingsdoeleinden;
  • de categorieën van de betrokkenen;
  • de categorieën van persoonsgegevens;
  • de categorieën van ontvangers, ook eventueel in derde landen of internationale organisaties;
  • de beoogde bewaartermijnen;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Het verwerkingsregister kan op elektronische wijze tot stand komen en bijgehouden worden. Dit kan worden gerealiseerd door de informatie op te nemen in een Excel-bestand. Op deze manier kunnen de verwerkingen overzichtelijk worden weergegeven en kan het verwerkingsregister eenvoudig worden aangepast indien dit nodig wordt geacht.

 

Wilt u een snelle start met een verwerkingsregister?

Audittrail helpt! We hebben een format voor een verwerkingsregister opgesteld dat voldoet aan de vereisten die de AVG stelt. In dit format kan op gedetailleerde wijze een overzicht worden gemaakt van de verwerking van persoonsgegevens binnen de verschillende processen van uw organisatie. Wilt u hier meer over weten? Neem dan contact met ons op.

Up-to-date blijven? Meld u dan aan voor onze tweemaandelijkse nieuwsbrief

Plaats een reactie

+ 23 = 25