+31 88 1888150 | planning@jenz.nl
MIJN JENZ
JenZ logo
Nieuws
< terug naar overzicht

AVG – het belang van het verwerkingsregister

Bron: FlexNieuws.nl

AVG – het belang van het verwerkingsregister

Gerrit van Rooij
Gerrit van Rooij

Door Gerrit van Rooij, privacy adviseur bij Stichting AVG Garant en privacy officer bij sociaal ontwikkelbedrijf Pantar.

Deze keer belicht ik graag een artikel over een verplichting uit de AVG waar ondernemingen het vaak lastig mee hebben, maar die wel een basisonderdeel uitmaakt van de naleving van de AVG. Met het verwerkingsregister breng je immers in kaart welke gegevens je verwerkt, welke beschermende maatregelen je neemt, hoe je je aan de belangrijkste AVG beginselen houdt zoals het beperken van opslag, de doelbinding, of dataminimalisatie. Met het verwerkingsregister krijg je dus niet alleen inzicht in de gegevens die je verwerkt maar kun je ook de naleving van de AVG aantonen. Bij controles door de AP en/of privacy audits (bijvoorbeeld AVG Garant) is het register meestal het eerste waar naar gevraagd wordt.

De registratieverplichting geldt voor bedrijven die volgens de AVG verwerkingsverantwoordelijke zijn. Zijn ze verwerker dan geldt een beperktere plicht om een register bij te houden. Deze plicht behandelen we niet in dit artikel.
Het register is verplicht voor alle bedrijven. Er is een uitzondering voor kleinere bedrijven (<250 medewerkers) maar deze geldt dan weer niet voor structurele verwerkingen waardoor deze uitzondering in de praktijk niet erg bruikbaar is.

In de AVG wordt opgenoemd wat er in een register moet komen. Het belangrijkste is dat je een overzicht maakt van alle verwerkingen van persoonsgegevens. Een verwerking is alles wat je met persoonsgegevens kan doen maar de wet laat onbeschreven op welke detailniveau je dit in het register moet beschrijven. Om met het register de naleving van de AVG aan te kunnen tonen is het belangrijk om de processen niet op een te hoog abstractieniveau te beschrijven. Als hulpmiddel kun je kijken naar bestaande procesbeschrijvingen en/of applicaties en systemen die je gebruikt. Hiermee kun je ook verifiëren of je wel volledig bent. Wat ook nog altijd bruikbaar is om je verwerkingen in kaart te brengen is het oude vrijstellingsbesluit. Hierin kun je per artikel de meest voorkomende verwerkingen voor bedrijven terugvinden (bijvoorbeeld  personeelsadministratie, recruitment, debiteuren/crediteuren, werving, klachtenafhandeling etc.).

Per verwerking moet je volgens de AVG een aantal onderwerpen verplicht opnemen. Naast het doel van de verwerking zijn dat de (categorie van) persoonsgegevens die je verwerkt, van wie die gegevens zijn (de zogenaamde betrokkenen) en aan wie je die verstrekt (in- of extern), hoe lang je ze bewaart en hoe je deze beveiligt. Tenslotte is het verstandig in het register op te nemen waarom je de gegevens verwerkt (de zogenaamde wettelijke grondslag) en of er sprake is van een hoog risico in die verwerkingen. Is dat laatste het geval dan moet je eerst een DPIA uitvoeren. Ook valt aan te raden om in het register op te nemen of er bij een verwerking gebruik gemaakt wordt van een verwerker. Dat zijn organisaties die in jouw opdracht en onder jouw instructie persoonsgegevens verwerken en waarmee je een verwerkersovereenkomst moet sluiten. Als je persoonsgegevens buiten de EU laat verwerken dan dien je dit ook in het register te vermelden inclusief de vereiste waarborgen.

De AVG stelt geen regels aan het format. Vaak worden registers opgenomen in Excel-bestanden of in daarvoor bestemde privacy softwaretools. Templates voor het register kun je meestal opvragen bij de brancheorganisatie waar je bent aangesloten. Online kun je ook templates vinden bijvoorbeeld bij de Belgische toezichthouder (onder Model van register).

Zoals voor alles geldt, moet je dit register natuurlijk actueel houden. Dit betekent dat je een procedure moet hebben om nieuwe of gewijzigde verwerkingen toe te voegen aan dit register. Belangrijk in zo’n procedure is te benoemen wie het register bij houdt, bij wie wijzigingen moeten worden gemeld en wie beoordeelt dat de beschrijving juist en volledig is. Vaak ligt dit bij de privacy officer. Het kan ook door de Functionaris Gegevensbescherming gebeuren maar dit mag de zijn toezichthoudende taak niet in de weg zitten.

Er bestaat geen verplichting om het register openbaar te maken. Gezien het feit dat het om bedrijfsvertrouwelijke informatie kan gaan is het advies dit ook niet te doen. Publieke instellingen zie je wel steeds vaker registers openbaar maken. Zo kun je in de footer van de website bij de Autoriteit Persoonsgegevens het verwerkingsregister vinden. Wel is het een verplichting om in het register bedrijfs- en contactgegevens op te nemen en de eventuele (contact)gegevens van de Functionaris Gegevensbescherming.

Tenslotte kan een register ook helpen met het opstellen van je privacyverklaring. Veel van de gegevens die daarin terug moeten komen staan immers ook in het register.

Nog meer weten?
Op de website van de Ierse toezichthouder vind je een handige (Engelstalige) handleiding.

Lees ook
Verwerkers en verwerkersovereenkomsten persoonsgegevens – AVG

< terug naar overzicht