Het verwerkingsregister

Sinds 6 november 2017 hoeven organisaties in de praktijk geen melding meer te doen aan de Autoriteit Persoonsgegevens als zij persoonsgegevens verwerken. Op 25 mei 2018 werd namelijk de Algemene verordening gegevensbescherming (AVG) van kracht en is meldplicht vervallen. Alleen als er sprake is van een gegevensverwerking met een bepaald risico, blijft een melding verplicht.

Onder de AVG is het voor organisaties verplicht om een register van verwerkingsactiviteiten bij te houden. 

Documentatieplicht

Nu de de gegevensverwerkingen niet meer gemeld hoeven worden bij de Autoriteit Persoonsgegevens, hebben organisaties conform artikel 30 van de AVG (register van verwerkingsactiviteiten) toch een documentatieplicht. Dit houdt in dat een organisatie met documenten moet kunnen aantonen dat de juiste organisatorische en technische maatregelen zijn genomen om aan de wet te voldoen (verantwoordingsplicht).

Inhoud van het register

De verwerkingsverantwoordelijke en de verwerker zijn verplicht om een register (lees: documentatie) bij te houden van alle verwerkingen die zij uitvoeren. Dit is  documentatieplicht. Het verwerkingsregister moet onder meer de volgende gegevens bevatten:

  • Naam en contactgegevens van de verwerkingsverantwoordelijke, (sub)verwerkers en de Functionaris voor de gegevensbescherming (FG).
  • De verwerkingsdoeleinden.
  • Beschrijving van de categorieën van betrokkenen en van persoonsgegevens.
  • De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt.
  • Eventuele doorgifte aan derde landen of internationale organisaties.
  • Beoogde termijnen waarbinnen de gegevens moeten worden gewist.
  • Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

AVG compliance tools

Het verwerkingsregister kan worden bijgehouden in een spreadsheet, zoals Excel. Beter, duidelijk, flexibeler en overzichtelijker is het om een AVG compliance tool te gebruiken. Als het verwerkingsregister eenmaal is opgesteld, moet deze up-to-date worden gehouden. Hiervoor is het raadzaam om een eigenaar toe te kennen aan het register. Iemand die verantwoordelijk is voor het updaten van het register, maar ook voor het aanpassen van de gegevensstromen of procedures.

Hier wil ik meer over weten

Informatie

Benieuwd wat Moja Rada voor uw organisatie kan betekenen?

Vraag vrijblijvend informatie aan

De door u ingevulde gegevens worden na het versturen direct verwijderd. Voor meer informatie leest u de privacyverklaring.

AVG compliance tools

DPOrganizer
PrivacyPerfect