Binnen de privacywet AVG bestaat de verantwoordingsplicht. Dit houdt in dat u bepaalde zaken moet hebben ingericht om de naleving van de AVG aan te kunnen tonen.

Dit geldt o.a. voor het opstellen van een zogenaamd verwerkingsregister. Met het verwerkingsregister verkrijgt u inzicht in welke persoonsgegevens u verwerkt binnen uw organisatie.
 

WAT IS EEN VERWERKINGSREGISTER?

Het verwerkingsregister is een registratie van de persoonsgegevens die binnen uw organisatie worden verwerkt. Afhankelijk of u verwerker of verwerkingsverantwoordelijke bent, dient u minimaal bepaalde informatie vast te leggen.
 

VOOR BIJNA ELK MKB-BEDRIJF VERPLICHT

Heeft uw bedrijf meer dan 250 werknemers? Dan bent u verplicht een register van verwerkingen bij te houden. Heeft een bedrijf minder dan 250 werknemers in dienst, dan moet het ook over een verwerkingsregister beschikken, wanneer:

  • de verwerking niet incidenteel is

  • het waarschijnlijk is dat de verwerking die het bedrijf verricht een risico inhoudt voor de rechten en vrijheden van de betrokkenen

  • de verwerking bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten bevatten

Let op!
Aangezien veruit de meeste verwerkingen niet incidenteel zijn, denk aan het verwerken van persoonsgegevens van medewerkers of klanten, zullen de meeste mkb-bedrijven vrijwel altijd een verwerkingsregister op moeten stellen.
 

VEREISTEN VERWERKINGSREGISTER

Het register van de verwerkingsverantwoordelijke moet de volgende gegevens bevatten:

  • de verwerkingsdoelen en de grondslagen voor verwerking

  • een beschrijving van de categorieën van betrokkenen

  • een beschrijving van de categorieën van persoonsgegevens

  • de verwerkers die diensten voor u verlenen en beschikken over uw persoonsgegevens

  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt

  • indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie

  • indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist

  • indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen

  • in voorkomend geval de naam van de functionaris voor gegevensbescherming
     

Het register van de verwerker moet de volgende gegevens bevatten:

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt

  • de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd

  • indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie

  • indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen

  • in voorkomend geval de naam van de functionaris voor gegevensbescherming

Verwerkingsverantwoordelijke: een organisatie die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Verwerker: een organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

In het geval een verantwoordelijke persoonsgegevens laat verwerken door een verwerker (denk bijvoorbeeld aan de uitbestede salarisadministratie van uw organisatie), dan dienen de verwerkingsregisters van verantwoordelijke en verwerker op elkaar aan te sluiten. In het geval de verwerker op zijn beurt ook weer bepaalde verwerkingen uitbesteedt, denk aan een SAAS-dienstverlener of een hostingpartij, dan dient de subverwerker ook een verwerkingsregister te hebben. Zie onderstaande afbeelding van een verwerkingsketen.

AVG_verwerkingsregister_1.jpg

 

VOORBEELD REGISTER VAN VERWERKINGEN

In onderstaande afbeelding ziet u op welke wijze u dit register op kunt zetten in een eenvoudige tabel of spreadsheet. Bovenaan de kolommen staan de categorieën van gegevens vermeld die u per proces dient te registeren.  Ook maakt u hiermee inzichtelijk welke partijen (verwerkers) beschikken over uw persoonsgegevens en welke maatregelen u heeft getroffen om deze te beschermen.

AVG_verwerkingsregister_2.jpg
 

WELKE ACTIES MOET U IN GANG ZETTEN?

Het verwerkingsregister geeft u inzicht in wat u heeft geregeld met betrekking tot de verwerking van persoonsgegevens. Met behulp van het ingevulde register kunt u bepalen in welke proces of activiteit u zaken nog niet heeft ingeregeld, welke risico’s u mogelijk loopt en of de maatregelen die u heeft getroffen afdoende zijn. U kunt dit ook periodiek evalueren.

Mogelijke acties op basis van het verwerkingsregister:

  • controleren van de gemaakte afspraken met verwerkers en mogelijk aanvullen van de verwerkersovereenkomsten

  • vaststellen (privacy)beleid op specifieke onderwerpen

  • aanvullen van verwerkingsdoelen en grondslagen van de gegevensverwerking

  • vaststellen bewaartermijnen en inregelen vernietiging persoonsgegevens na het verstrijken van de bewaartermijnen

  • controleren of de technische en organisatorische maatregelen zowel in uw eigen organisatie als bij uw verwerkers afdoende zijn

  • gebruiken van de informatie uit het verwerkingsregister om de betrokkene(n) te informeren
     

Neem contact op

*
*
*
*
*

Lees meer over de AVG

Inzage personeelsdossier voor werknemer

Werknemers hebben op grond van de AVG het recht om hun persoonsgegevens in te zien. Hoe moet u hieraan meewerken? Welke gegevens moet u verplicht laten zien?

Voldoe in 5 stappen aan de AVG

Bedrijven en organisaties die werken met persoonsgegevens moeten rekening houden met de AVG (ook kleine mkb’ers en zzp’ers). In 5 stappen bent u AVG-proof.

Hoe beveilig ik mijn persoonsgegevens?

U moet volgens de strengere privacywet AVG uw persoonsgegevens op een juiste en doeltreffende manier beveiligen. Op welke wijze geeft u daar invulling aan?

Wat is een persoonsgegeven?

Wat is een persoonsgegeven en wat niet? En welke categorieën van persoonsgegevens zijn te onderscheiden? Dit is belangrijk om te kunnen weten of de privacywet AVG wel of niet van toepassing is.

Persoonsgegevens bewaren

Volgens de AVG mag u persoonsgegevens niet langer bewaren dan nodig voor het doel waarvoor u ze heeft verzameld. Daarna moet u de gegevens vernietigen.

Kleine ondernemer niet meteen beboet

Kleine ondernemers en organisaties hoeven niet bang te zijn dat ze direct beboet worden als ze nog niet volledig voldoen aan de AVG.

Vraag toestemming voor gebruik foto's!

Gebruikt u foto’s van werknemers of klanten voor uw website of voor nieuwsbrieven? Dan moet u expliciet toestemming krijgen. Aan welke voorwaarden moet die toestemming voldoen?

Omgaan met incidenten en datalekken

De AVG schrijft voor dat uw organisatie inbreuken in verband met de verwerking van persoonsgegevens (datalekken) moet melden. Waaraan moet u precies voldoen?

AVG-regels als uw werknemer vertrekt

Gaat uw werknemer (die beschikt over belangrijke persoons- en privacygevoelige gegevens) het bedrijf verlaten? Neem dan maatregelen en maak goede afspraken met uw (ex-)werknemer.

Verwerkersovereenkomst

U mag voor de verwerking van persoonsgegevens uitsluitend een beroep doen op leveranciers die voldoen aan de vereiste technische en organisatorische (beveiligings)maatregelen.

Datalekken, wat leren we ervan?

In 2018 zijn er 20.881 datalekken aan de Autoriteit Persoonsgegevens gemeld. Wat kunnen we hiervan leren?