Wat is een verwerkingsregister?
Een verwerkingsregister is een register waarin een bedrijf bijhoudt welke persoonsgegevens er worden verwerkt. Het biedt een goed overzicht voor wat je als onderneming met persoonsgegevens doet. Bovendien draagt het bij aan de verantwoordingsplicht die je hebt volgens de AVG. De verantwoordingsplicht houdt in dat je kunt aantonen dat het verwerken van persoonsgegevens allemaal via de regels van de AVG verloopt.
Wat moet er in een verwerkingsregister staan?
Onder de AVG zijn er twee rollen wat betreft het verwerken van persoonsgegevens: de verwerkingsverantwoordelijke en de verwerker. De verwerkingsverantwoordelijke is degene die de doel en middelen vaststelt van de verwerking van persoonsgegevens. De verwerker is degene die in opdracht van de verwerkingsverantwoordelijke gegevens verwerkt, zonder dat hij onder direct gezag staat. Beide rollen zijn – onder bepaalde voorwaarden – verplicht een verwerkingsregister bij te houden.
Als je verwerkingsverantwoordelijke bent, moet het volgende in het verwerkingsregister staan:
- Je contactgegevens
- De contactgegevens van de Functionaris Gegevensbescherming (indien je deze hebt)
- De verwerkingsdoeleinden
- De categorieën van betrokkenen (van wie je persoonsgegevens verzamelt)
- De categorieën van persoonsgegevens
- De categorieën van ontvangers van de persoonsgegevens
- Of de persoonsgegevens binnen de EER worden verwerkt
- Of er sprake is van doorgifte van persoonsgegevens naar land buiten de EER, en zo ja, welk land dit is
- De bewaartermijn van de persoonsgegevens
- Beveiligingsmaatregelen die je hebt getroffen om de persoonsgegevens te beschermen
Als je verwerker bent, moet het volgende in het verwerkingsregister staan:
- Je contactgegevens
- De contactgegevens van de verwerkingsverantwoordelijke
- De contactgegevens van de Functionaris Gegevensbescherming (indien je deze hebt)
- De categorieën van verwerkingen (die komen overeen met de doeleinden van de verwerkingsverantwoordelijke)
- Of de persoonsgegevens binnen de EER worden verwerkt
- Of er sprake is van doorgifte van persoonsgegevens naar land buiten de EER, en zo ja, welk land dit is
- Beveiligingsmaatregelen die je hebt getroffen om de persoonsgegevens te beschermen
Wanneer is een verwerkingsregister verplicht?
We weten nu dat beide rollen een verwerkingsregister moeten bijhouden – als het moet. Dus, wanneer ontkom je er niet aan? De AVG geeft aan dat een verwerkingsregister sowieso verplicht is als een bedrijf meer dan 250 werknemers heeft. Maar: een bedrijf met minder dan 250 werknemers is óók verplicht een verwerkingsregister op te stellen:
- wanneer de verwerking een hoog risico inhoudt voor de rechten en vrijheden van degenen waarvan je persoonsgegevens verzamelt, of;
- wanneer er bijzondere persoonsgegevens worden verwerkt; of;
- wanneer de verwerking van persoonsgegevens niet incidenteel (ofwel, wanneer het structureel) is.
Wanneer is er sprake van een hoog risico?
Er is sprake van een hoog risico voor de rechten en vrijheden van betrokkenen wanneer er bijvoorbeeld geautomatiseerd beslissingen worden genomen, gegevens grootschalig worden verwerkt, bijzondere persoonsgegevens worden verwerkt, of als je gegevens verwerkt van kwetsbare personen.
Wanneer is er sprake van bijzondere persoonsgegevens?
Bijzondere persoonsgegevens zijn gegevens die extra gevoelig zijn. Omdat ze extra gevoelig zijn, verkrijgt deze categorie ook extra bescherming van de AVG. Voorbeelden zijn: gegevens over gezondheid, gegevens waaruit iemands godsdienst, ras of etnische afkomst blijkt, of gegevens waaruit iemands politieke voorkeur blijkt.
Wanneer is een verwerking (niet) incidenteel?
Eigenlijk zijn verwerkingen bijna nooit incidenteel. Bovendien verwerk je persoonsgegevens op vele manieren: om je nieuwsbrief te versturen, om contact op te nemen, etc. Het kan nooit zo zijn dat al deze manieren telkens incidenteel zijn. Je kunt hierdoor stellen dat een verwerkingsregister voor ieder bedrijf verplicht is.
Voorbeeld verwerkingsregister
Kun je wel een voorbeeld van zo’n verwerkingsregister gebruiken of heb je geen idee hoe je zoiets in moet vullen? Om jou tijd en moeite te besparen, heb ik templates van een verwerkingsregister gemaakt voor zowel een verwerkingsverantwoordelijke als voor een verwerker, inclusief een handleiding hoe je het in moet vullen.