20 maart 2018

BLOG 3/4: Het verwerkingsregister: wat doe je eigenlijk met al die gegevens?

Dries Lawrence
Juridisch adviseur | ICT Recht

Blog numero 3! Nog even bijten en dan ben je er zo goed als klaar voor! Toch? In dit blog gaan we het hebben over het verwerkingsregister. In de AVG moet je aantonen dat jouw verwerkingen van persoonsgegevens aan de wetgeving voldoen. Dit wordt de verantwoordingsplicht genoemd. Eén van de verplichte maatregelen hiervoor is het bijhouden van een verwerkingsregister. Lees snel verder om hier alles over te weten te komen!

Lees hier het vorige blog over de privacyverklaring Privacyverklaring: vertel je klanten eerlijk wat je van ze weet’

Het verwerkingsregister is de centrale plaats waarin iedere (!) verwerking van persoonsgegevens moet zijn gedocumenteerd. Dit zijn niet alleen grote administraties zoals de personeelsadministratie, maar ook ‘kleine’ verwerkingen zoals een nieuwsbrief, ritregistraties en cameratoezicht.

Het is belangrijk om dit register goed op orde te hebben, maar welke eisen worden hieraan gesteld?

Organisaties met meer dan 250 personen in dienst zijn verplicht een register bij te houden. Dit betekent niet dat de gemiddelde webshop per definitie vrijgesteld is van de registerplicht. Was het maar waar, zucht…

Je moet alsnog een register bijhouden als er risicovolle verwerkingen plaatsvinden of structureel persoonsgegevens verwerkt worden. Organisaties met minder dan 250 medewerkers zijn alléén uitgezonderd van de registerplicht als er slechts incidentele verwerkingen plaatsvinden. We gaan er voor de volledigheid dus vanuit dat je als webwinkelier zo’n register nodig hebt. Don’t shoot the messenger ;)

  • De contactgegevens van de verantwoordelijke

Denk hierbij aan de bedrijfsnaam, de concrete afdeling en verantwoordelijke manager. Mocht je een functionaris voor gegevensbescherming in dienst hebben: dan moet je zijn/haar contactgegevens ook vermelden.

  • De doeleinden waarvoor de gegevens verwerkt worden

Zoals ‘salarisadministratie’ of ‘het bijhouden van een klantenregister’. Vermeld daarnaast ook de grondslag voor de verwerking: toestemming, afhandelen van de overeenkomst, marketingdoeleinden, etc.  

  • De categorie gegevens

Welke soorten persoonsgegevens verwerk je eigenlijk. Ga in ieder geval na of je de volgende in bezit hebt: NAW-gegevens, contactgegevens, betaalgegevens, CV, geboortedatum, geslacht, inloggegevens.

  • De categorie betrokkenen

Hier noteer je de verschillende groepen mensen van wie je gegevens hebt. Zoals klanten, websitebezoekers en werknemers.

  • De categorie ontvangers

Aan wie worden de gegevens verstrekt? Neem op welke bedrijven welke gegevens kunnen inzien. Hier hoort o.a. Mijnwebwinkel te staan. Hint: de reden waarom wij gegevens van jouw klanten verwerken is zodat jij de ‘overeenkomst met je klant’ kunt uitvoeren.

  • Informatie over eventuele doorgifte van gegevens naar landen buiten de EU

Als gegevens waarvoor jij verantwoordelijk bent worden verwerkt in landen buiten de EU, moet je dit hier vermelden.

  • De bewaartermijn van de gegevens

Leg voor jezelf ook vast hoe lang je de verschillende gegevens bewaart, en waarom dit nodig is.

  • Hoe zijn de gegevens beveiligd

Hierin kan je eventueel verwijzen naar jouw algemene beveiligingsbeleid.

De toezichthouder (ofwel de Autoriteit Persoonsgegevens) kan inzage eisen om je te controleren. Zorg er dus voor dat je register compleet en actueel is.
Het viel je misschien al op dat er inhoudelijk een grote overlap is met de privacyverklaring. Was je al bezig met het opstellen van de privacyverklaring? Hoppaaa! Dat scheelt weer werk bij het opstellen van dit register!

Pfff, hoe begin ik aan zo’n register?

Een register opstellen (en vooral bijhouden) is best een pittige klus. Al denken wij dat jij dit prima alleen af kan, kan je er natuurlijk ook hulptroepen voor inschakelen. Zo kan je bij ICTRecht kan je een Excel-sheet opvragen die voldoet aan alle bovenstaande punten. Je moet hem alleen nog ‘even’ invullen.

Inspiratie en tips. Maandelijks in je mailbox.