Deze website maakt gebruikt van cookies. Meer informatie Melding niet meer tonen

Heeft u al een verwerkingsregister?

Organisaties die persoonsgegevens verwerken, dienen zich vanaf 25 mei 2018 te houden aan de nieuwe Europese privacywet: de Algemene verordening gegevensbescherming (AVG). Deze vervangt de Wet bescherming persoonsgegevens en legt verwerkingsverantwoordelijken en verwerkers nieuwe en scherpere verplichtingen op. Eén van de nieuwe verplichtingen is het houden van een ‘register van verwerkingsactiviteiten’. Wat houdt dit in? En wat moet hierin worden vastgelegd?

Verwerkingsactiviteiten

De verplichting om een register van verwerkingsactiviteiten te houden, vervangt de bepaling in de Wet bescherming persoonsgegevens dat verwerkingen gemeld moeten worden bij de Autoriteit Persoonsgegevens (AP). Verwerkingsverantwoordelijken en verwerkers zijn vanaf 25 mei zelf verantwoordelijk voor het inzicht in de gegevens die verwerkt worden, het doel van de verwerking en de categorieën van ontvangers. Het register moet ter beschikking worden gesteld aan de AP als deze hierom verzoekt. 

Het verwerkingsregister is niet enkel een verplichting, maar het heeft ook grote voordelen. Via één overzicht heeft u inzicht in de gegevens die u verwerkt, waar u de verwerking uitbesteedt en hoe uw keten van verwerking eruitziet. Hiermee kunt u ook eenvoudig informatie terugvinden als u hier van bijvoorbeeld de AP of betrokkenen vragen over krijgt. Ook weet u met wie u contact op moet nemen indien zich onverhoopt een data-incident voor doet.

Waaraan moet het register voldoen?

Voordat u start met het opstellen van het register dient u vast te stellen of u verantwoordelijk bent voor de gegevens (verwerkingsverantwoordelijke) of deze in opdracht van een verantwoordelijke verwerkt (verwerker). De verplichte onderdelen zijn namelijk verschillend. 

De verwerkersverantwoordelijke dient de volgende informatie vast te leggen (artikel 30, lid 1 AVG):
  • De naam en contactgegevens van de verwerkersverantwoordelijke(n) en, indien aanwezig, de functionaris voor gegevensbescherming;
  • De verwerkingsdoeleinden;
  • Een beschrijving van de categorieën van betrokkenen (van wie worden gegevens verwerkt?);
  • Een beschrijving van de categorieën van gegevens (welke gegevens worden verwerkt?);
  • De categorieën van ontvangers (met wie worden gegevens gedeeld?);
  • Indien van toepassing: doorgeven van gegevens aan een derde (een ander land of internationale organisatie);
  • Indien mogelijk: een overzicht van bewaartermijnen;
  • Indien mogelijk: een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

De verwerker dient de volgende informatie vast te leggen (artikel 30, lid 2 AVG):
  • De naam en contactgegevens van de verwerkers en iedere verwerkersverantwoordelijke en, indien aanwezig, de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke;
  • De categorieën van verwerkingen die voor iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • Indien van toepassing: doorgeven van gegevens aan een derde ( een ander land of internationale organisatie);
  • Indien mogelijk: een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Het register moet in schriftelijke vorm, waaronder in elektronische vorm, worden opgesteld (artikel 30, lid 3 AVG).

Robidus verwerkingsregister

Robidus voert de sociale zekerheid uit voor honderden werkgevers. In dat kader administreren wij alle verwerkingen die wij uitvoeren in onze registers, die zowel in de rol van verwerkingsverantwoordelijke als verwerker opgesteld moeten worden. Onze opdrachtgevers kunnen inzicht krijgen in onze verwerkingsregisters door contact op te nemen met onze Compliance Officer. 

Wilt u meer weten over het verwerkingsregister? Neem dan contact met ons op, wij vertellen u er graag alles over.

Lees ook de 5 AVG tips voor werkgevers. Klik hier

Publicatie datum: 20 februari 2018
Deel deze pagina