Aandachtspunten AVG: het verwerkingsregister

Waarschijnlijk heb je het in de wandelgangen al wel gehoord of ben je er zelf al een tijdje actief mee bezig: de nieuwe privacywet. Op 25 mei treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De komende weken delen we je een aantal aandachtspunten waar iedere ondernemer goed naar moet kijken.

Verwerk je als ondernemer persoonsgegevens? Dan ben jij een van de velen die te maken krijgt met de nieuwe wet. Onder verwerken wordt verstaan het opslaan en gebruiken van de gegevens. Hier gaat het niet alleen om gegevens van klanten en leden, maar ook om die van medewerkers, partners en opdrachtgevers.

Verwerkingsregister

Een van de nieuwe bijkomstigheden is dat je voortaan als ondernemer actief moet kunnen aantonen dat je je aan de privacywet houdt. Als bedrijf moet je zo min mogelijk data verwerken en alleen opslaan wat belangrijk is. Daarnaast ben je verplicht klanten of leden te wijzen op recht van inzage van gegevens en verwijdering hiervan. Het aantonen van het houden aan de privacywet gebeurt door alles te documenteren in een verwerkingsregister. In dit register leg je vast welke data je verzamelt, welk doel hieraan verbonden is en voor hoelang je deze data verzamelt of houdt. Het Autoriteit Persoonsgegevens gebruikt het verwerkingsregister om na te gaan of je jouw zaken rondom privacy op orde hebt.

Verantwoordelijke & verwerkers

Voor het bijhouden van een verwerkingsregister heb je zowel een verantwoordelijke nodig als verwerkers. Dit zijn, door de verantwoordelijke ingeschakelde, hulppersonen. Ook zij moeten een register bijhouden. De verantwoordelijke is de partij die bepaalt welke persoonsgegevens worden verwerkt, voor welk doel, en met welke middelen.

Inhoud van het verwerkingsregister

Per verwerkingsactiviteit moet de verantwoordelijke de volgende gegevens registreren:

  • De naam en contactgegevens van de verantwoordelijke, eventuele gezamenlijke verwerkingsverantwoordelijken en de Functionaris Gegevensbescherming (de FG);
  • De doeleinden waarvoor de gegevens verwerkt worden;
  • De categorieën gegevens, denk hierbij aan NAW-gegevens, contactgegevens en betaalgegevens;
  • De categorieën betrokkenen, denk hierbij aan klanten, websitebezoekers en werknemers;
  • De categorieën ontvangers, aan wie worden de verzamelde gegevens uitgegeven?
  • De (voorgenomen) bewaartermijn van de verkregen gegevens;
  • Een beschrijving hoe de gegevens worden beveiligd, bijvoorbeeld door encryptie of een toegangscontrole;
  • Indien van toepassing informatie over de verstrekking van persoonsgegevens naar landen buiten de EU.

Een verwerker moet per verwerkingsactiviteit het volgende registreren:

  • De naam en contactgegevens van de verwerker(s), verantwoordelijk(en) en de eventuele Functionaris Gegevensbescherming;
  • De categorieën verwerkingsactiviteiten;
  • Een beschrijving hoe de gegevens worden beveiligd
  • Indien van toepassing informatie over de verstrekking van persoonsgegevens naar landen buiten de EU.

Dit verwerkingsregister kan opgevraagd worden door de Autoriteit Persoonsgegevens. Je bent dan als bedrijf verplicht inzage te geven.

NB: bovenstaande mag niet geïnterpreteerd worden als juridisch advies. Voor juridisch advies dien je jezelf te wenden tot een jurist.