PrivacyBlox over de AVG [8/20]: het verwerkingsregister - vastleggen wat u doet met persoonsgegevens

12 februari 2018

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Bedrijven en instellingen krijgen een hoop nieuwe regels voor de kiezen, met name gericht op bewijslegging. Een belangrijk instrument daarbij is het verwerkingsregister, de centrale plaats waarin iedere verwerking van persoonsgegevens moet zijn gedocumenteerd. Welke eisen stelt de wet daar nu aan?

Het formeel vastleggen van verwerkingen is een van de weinige echt nieuwe eisen uit de AVG. Doel hiervan is vooral organisaties te dwingen goed na te denken over wat zij doen met persoonsgegevens en waarom. Het register vermeldt voor iedere verwerking wie deze uitvoert, op welke grondslag (zoals vorige week besproken) deze is gebaseerd, hoe deze is beveiligd en hoe lang gegevens worden bewaard.

Bij de term ‘verwerking’ denken veel mensen in eerste instantie aan grote, officiële administraties zoals de personeelsadministratie of salarisadministratie, of het Customer Relationship Management (CRM) systeem met klanten en andere relaties. Deze moeten inderdaad in het register zijn uitgewerkt, maar in het register horen ook de ‘kleinere’ verwerkingen zoals de maandelijkse nieuwsbrief, ritregistraties en cameratoezicht en zelfs dat formulier bij de receptie waar bezoekers zich op intekenen.

Wellicht heeft u gelezen dat de registerplicht niet geldt voor mkb-bedrijven (met minder dan 250 medewerkers). Dit klopt helaas niet helemaal; ook mkb-ers en zelfs zzp’ers moeten het verwerkingsregister gewoon hebben. De wet heeft weliswaar inderdaad een uitzondering voor deze groep, maar zet er meteen bij dat de uitzondering alleen geldt voor incidentele verwerkingen. Een personeelsadministratie of CRM-systeem is natuurlijk structureel en moet dus gewoon in het register opgenomen worden.

Beknopt en duidelijk moet in het verwerkingsregister worden opgenomen:

  • Naam en contactgegevens van de verantwoordelijke entiteit; dit is niet alleen de bedrijfsnaam maar ook de concrete afdeling en de verantwoordelijke manager of business owner.
  • De doeleinden, zoals “Salarisadministratie” of “Beveiliging van pand en goederen middels camera’s met geluidssensoren” met een omschrijving van de grondslag (toestemming, overeenkomst, et cetera).
  • Een omschrijving van betrokkenen, zoals personeel, klanten, bezoekers of passanten.
  • Een omschrijving van ontvangers, zoals de afdeling die het uitvoert, het beveiligingsbedrijf dat de camerabeelden uitkijkt en de politie in geval van strafbare feiten. Ontvangers in landen buiten de EU moeten apart worden genoemd.
  • De bewaartermijnen, inclusief motivatie waarom deze termijnen en niet korter.
  • Een beschrijving van de beveiligingsmaatregelen voor deze verwerking, u mag hierbij verwijzen naar het algemene beveiligingsbeleid.
  • Een inschatting van het risico voor betrokkenen; als u meent dat dit hoger is dan normaal dan moet u een privacy impact assessment (PIA) uitvoeren (waarover in deel 16 van de serie meer).

Wanneer u deze verwerking voor een ander uitvoert (u bent dan verwerker), moet u nog steeds gewoon een register beheren met bovengenoemde informatie. Sterker nog, u moet dit dan per klant (per verantwoordelijke) apart voeren, zodat voor iedere klant duidelijk is wat u precies voor hem doet.

Doel van het register is u te dwingen concreet te worden over wat u doet, op welke manier en waarom. De toezichthouder kan op verzoek inzage in het register vorderen om u te controleren. De informatie uit het register zal daarnaast de basis vormen voor de privacyverklaringen die u aan mensen moet verstrekken. Inhoudelijk hebben deze namelijk grote overlap, maar de stijl en taal van de privacyverklaring is wel een heel stuk anders. Morgen leest u er alles over. 

De makkelijkste manier om een verwerkingsregister op te zetten is de overzichtelijke tooling van Privacyblox.nlMeer weten over de AVG? Woensdag 21 februari 2018 organiseren wij een gratis AVG webinar over de belangrijkste veranderingen die de AVG met zich meebrengt. Ook wordt tijdens deze webinar aan de hand van de software van PrivacyBlox getoond hoe de juiste tooling u en uw organisatie kan ondersteunen in het voldoen aan de AVG. Voor meer informatie en aanmelden: Webinar: update Algemene Verordening Gegevensbescherming (AVG).

Auteur: Arnoud Engelfriet

Arnoud Engelfriet is kennispartner bij JuriBlox. Hij is gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Met zijn informatica-achtergrond richt hij zich graag op complexe technisch/juridisch ICT-vraagstukken en softwarelicenties (met name open source). Zijn website Ius mentis is één van de populairste van Nederland over ICT en recht.

Meer nieuws

PrivacyBlox over de AVG [13/20]: staat de beveiliging van persoonsgegevens bij u op scherp voor de AVG?
PrivacyBlox over de AVG [12/20]: hoe lang mag je persoonsgegevens nog bewaren onder de AVG?
PrivacyBlox over de AVG [11/20]: heeft uw organisatie een privacy officer nodig?