Nieuws
Het verwerkingsregister (AVG)
Gepubliceerd op 12 apr 2018

Het verwerkingsregister
Met de komst van de Algemene Verordening Gegevensbescherming (AVG) zijn organisaties verplicht om een register van verwerkingen, ook wel 'verwerkingsregister' genoemd, bij te houden. In dit artikel wordt uitgelegd waarom het verwerkingsregister is ingevoerd en onder welke voorwaarden organisaties zo’n register moeten bijhouden. Tip van de sluier: deze verplichting zal voor nagenoeg iedere organisatie gaan gelden. Er zal ook bij stil worden gestaan welke gegevens in het register moeten worden opgenomen.
Waarom?
Tot 6 november 2017 waren organisaties verplicht om aan de Autoriteit Persoonsgegevens (AP) te melden als zij persoonsgegevens verwerkten. Met de komst van de AVG vervalt deze meldplicht. In plaats daarvan dienen organisaties onder de AVG een Verwerkingsregister bij te houden. Alleen als er sprake is van een gegevensverwerking met een hoog risico voor betrokkenen blijft een melding verplicht.
Wanneer?
Welke organisaties moeten een verwerkingsregister bijhouden? Zowel een verwerkingsverantwoordelijke als een verwerker zal een register van verwerkingsactiviteiten moeten bijhouden.
Een dergelijk register hoeft in beginsel niet bijgehouden te worden als de organisatie minder dan 250 personeelsleden heeft, maar hierop is meteen weer een belangrijke uitzondering van toepassing. Het register moet er wel zijn wanneer:
- Verwerkingen met een hoog risico voor betrokkenen worden uitgevoerd;
- Verwerkingen van bijzondere persoonsgegevens plaatsvinden (denk aan medische en strafrechtelijke gegevens);
- Verwerkingen structureel zijn.
- de naam en contactgegevens van de verantwoordelijke en (indien aanwezig) van de functionaris voor gegevensbescherming (FG);
- de verwerkingsdoeleinden;
- de categorieën gegevens die worden verwerkt (zoals NAW-gegevens, contactgegevens, betaalgegevens);
- de categorieën van betrokkenen (zoals klanten, websitebezoekers, werknemers);
- de categorieën van ontvangers (aan wie worden de gegevens verstrekt?);
- informatie over eventuele doorgifte van gegevens naar landen buiten de EU;
- de bewaartermijnen van de gegevens;
- de manieren waarop de gegevens zijn beveiligd (zoals encryptie, toegangscontrole, pseudonimisering).
- de naam en contactgegevens van de verwerker en de verantwoordelijke en (indien aanwezig) de FG;
- de categorieën van verwerkingen (deze komen overeen met de doeleinden uit het Verwerkingsregister van de verantwoordelijke);
- informatie over eventueel doorgifte van gegevens naar landen buiten de EU;
- de manieren waarop gegevens zijn beveiligd.
Meld je aan voor onze nieuwsbrief
Geen juridische updates missen? Maak dan een selectie uit de diverse expertises van Holla legal & tax.