Onder de AVG is het voor vrijwel alle ondernemingen, organisaties en verenigingen verplicht om een register van verwerkingsactiviteiten bij te houden.
Wanneer is een verwerkingsregister verplicht?
Het is register voor verwerkingsactiviteiten is verplicht voor ondernemingen, organisaties en verenigingen, met meer dan 250 medewerkers, of als je voldoet aan één van deze drie voorwaarden:
- Als je persoonsgegevens verwerkt en deze verwerking niet incidenteel is. In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners en/of;
- Als je persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie je persoonsgegevens verwerkt en/of;
- Als je persoonsgegevens verwerkt die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.
Het maakt hierbij niet uit of je verantwoordelijke bent of verwerker. Als je aan deze voorwaarden voldoet moet je een register bijhouden! In de praktijk komt het erop neer dat vrijwel alle ondernemingen, organisaties en verenigingen een register moeten bijhouden, omdat zij voldoen aan voorwaarde 1.
Het register is niet openbaar en je hoeft het niet vooraf met anderen te delen of te laten toetsen. De autoriteit persoonsgegevens (AP) kan er wel naar vragen als zij meer informatie willen. Dit kan bijvoorbeeld gebeuren nadat iemand een klacht tegen jouw onderneming ingediend heeft of je een datalek gemeld hebt. Je mag zelf kiezen in wat voor tooling of formaat je het register bijhoudt. Naar onze ervaring is het handig om het register in Excel of een gelijksoortig formaat te maken.
AVG Scan en Audit – AVG Verwerkingsregister – AVG Trainingen – AVG Templates