Verwerkingsregister

Terug

Het verwerkingsregister is een kern element als u compliant wilt zijn met de AVG. De AVG stelt een documentatieplicht en dit register is daarin onmisbaar.

Let wel: het register is niet verplicht voor organisaties die minder dan 250 personen in dienst hebben tenzij het waarschijnlijk is dat de verwerking die verricht wordt een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens betreft.

Bovenstaande uitzondering om geen register bij te hoeven houden zal niet vaak gelden omdat persoonsgegevens meestal niet incidenteel verzamelt worden. Bijvoorbeeld: als u diensten of producten levert en daarvoor persoonsgegevens verzamelt dan gebeurd dit niet incidenteel maar structureel als onderdeel van de intake/bestelling.

Het register is een relatief eenvoudig maar effectief overzicht van de persoonsgegevens die u verwerkt of laat verwerken met daarbij aanvullende verplichte informatie. Praktisch gezien kan een Excel sheet het middel zijn om deze gegevens te registreren. Er zijn daarnaast ook gerichte software tools op de markt die deze registratie in een mooi jasje gieten met eventueel aanvullende functionaliteit.

Het verwerkingsregister kent twee varianten. Die voor de verwerkingsverantwoordelijke en die voor de verwerker. In veel gevallen is dit dezelfde organisatie/partij echter is het mogelijk persoonsgegevens waarvoor u verantwoordelijk bent door te geven aan een andere (sub)verwerker. U en de verwerker dienen dan beide één van de registers bij te houden.

Wat verwacht de AVG dat u registreert?

De Verwerkingsverantwoordelijke

“Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden”

  1. De naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken.
  2. Indien van toepassing de vertegenwoordiger van de verwerkingsverantwoordelijke.
  3. Indien van toepassing naam functionaris voor gegevensbescherming
  4. De verwerkingsdoeleinden
  5. Een beschrijving van de categorieën van betrokkenen.
  6. Een beschrijving van de categorieën van persoonsgegevens.
  7. Een beschrijving van de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties.
  8. Indien van toepassing bij doorgiften van persoonsgegevens aan een derde land of een internationale organisatie de documenten inzake de passende waarborgen.
  9. Indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist.
  10. Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen zo dit als bedoeld is artikel 32, lid 1.

De Verwerker

“De verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht.”

  1. De naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming.
  2. De categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd.
  3. Indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen.
  4. Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen zo dit als bedoeld is artikel 32, lid 1.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *