AVG Verwerkingsregister

Onder de AVG is het voor vrijwel alle ondernemingen, organisaties en verenigingen verplicht om een register van verwerkingsactiviteiten bij te houden.

Wanneer is een verwerkingsregister verplicht?

Het is register voor verwerkingsactiviteiten is verplicht voor ondernemingen, organisaties en verenigingen, met meer dan 250 medewerkers, of als je voldoet aan één van deze drie voorwaarden:

Als je persoonsgegevens verwerkt en deze verwerking niet incidenteel is. In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners en/of;
Als je persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie je persoonsgegevens verwerkt en/of;
Als je persoonsgegevens verwerkt die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

Het maakt hierbij niet uit of je verantwoordelijke bent of verwerker. Als je aan deze voorwaarden voldoet moet je een register bijhouden! In de praktijk komt het erop neer dat vrijwel alle ondernemingen, organisaties en verenigingen een register moeten bijhouden, omdat zij voldoen aan voorwaarde 1.

Het register is niet openbaar en je hoeft het niet vooraf met anderen te delen of te laten toetsen. De autoriteit persoonsgegevens (AP) kan er wel naar vragen als zij meer informatie willen. Dit kan bijvoorbeeld gebeuren nadat iemand een klacht tegen jouw onderneming ingediend heeft of je een datalek gemeld hebt. Je mag zelf kiezen in wat voor tooling of formaat je het register bijhoudt. Naar onze ervaring is het handig om het register in Excel of een gelijksoortig formaat te maken.

AVG Scan en Audit – AVG Verwerkingsregister – AVG Trainingen – AVG Templates

Register van de verwerkingsactiviteiten

1. Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:

a) de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;

b) de verwerkingsdoeleinden;

c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;

e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;

f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;

g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.

2. De verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:

a) de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;

b) de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;

c) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;

d) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.

3. Het in de leden 1 en 2 bedoelde register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.

4. Desgevraagd stellen de verwerkingsverantwoordelijke of de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker het register ter beschikking van de toezichthoudende autoriteit.

5. De in de leden 1 en 2 bedoelde verplichtingen zijn niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft.

Over AVG gereed

Ik heb een stappenplan ontwikkeld waarmee ondernemingen en organisaties op een relatief eenvoudige wijze snel kunnen voldoen aan de eisen van de AGV.

Eenvoudig wil niet zeggen dat het met een uurtje werk gedaan is. De AGV bevat 99 artikelen. Er valt dus heel wat te doen, maar doordat we alles stap voor stap doorlopen, missen we niets.

Aan het eind van de weg is er een complete documentatie aanwezig waarmee je kunt aantonen dat jouw onderneming of organisatie alle de noodzakelijke maatregelen heeft genomen.

Copyright © 2019 AVG Gereed. All Rights Reserved

Design by WBS&SKT Webdesign