Menu

Register van Verwerkingsactiviteiten

Het “Register van Verwerkingsactiviteiten” is één van de verplichtingen die de AVG stelt.

De AVG legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

In de AVG staat een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht (accountability) voldoet. Een van de vijf verplichtingen in is het opstellen en bijhouden van het “Register van Verwerkingsactiviteiten”. Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.

Wat is een “Register van Verwerkingsactiviteiten”? Het register van verwerkingsactiviteiten is een opsomming van de belangrijkste informatie over uw verwerkingen van persoonsgegevens. U (of uw vertegenwoordiger) dient dit register bij te houden.

Is er een vormvereiste aan het “Register van Verwerkingsactiviteiten”? U dient het register in schriftelijke vorm op te stellen. Hieronder is ook begrepen het bijhouden van een register in elektronische vorm. Er zijn geen andere vormvereisten.

Moet ik altijd een ”Register van Verwerkingsactiviteiten” bijhouden? Ja. In de regel moet u altijd een register bijhouden. De uitzondering daarop is als u geen of ‘incidenteel’ persoonsgegevens verwerkt. Aangezien veruit de meeste verwerkingen niet-incidenteel zijn, zal in de praktijk slechts in een beperkt aantal gevallen een beroep op deze uitzondering kunnen worden gedaan. Het bijhouden van een ‘ledenadministratie’ is al registerplichtig.

Wat moet ik in het “Register van Verwerkingsactiviteiten” opnemen? In het register zijn ‘negen’ een verplicht onderdeel. Dat zijn onder andere: naam en contactgegevens, verwerkingsdoeleinden, categorieën persoonsgegevens, categorieën ontvangers, bewaartermijn, genomen beveiligingsmaatregelen.

Wat moet ik doen als ik mijn verwerkingsactiviteiten wijzig? Als u uw verwerkingsactiviteit wijzigt, moet u het register daarop aanpassen. Wanneer u bijvoorbeeld persoonsgegevens die u al verwerkt en in het register hebt beschreven, voor een nieuw doel gaat gebruiken, dan moet u deze nieuwe verwerkingsactiviteit registreren.

Wie moet ik toegang geven tot het register? Wanneer de Autoriteit Persoonsgegevens daarom vraagt moet u haar het register ter beschikking stellen. Ook dient de Functionaris Gegevensbescherming (FG).

Hoe lang moeten mijn verwerkingsactiviteiten in het register blijven staan? U moet de verwerkingen in het register bijhouden die op dat moment plaatsvinden. Of u ook verplicht verwerkingen moet bijhouden die in het verleden hebben plaatsgevonden wordt niet geheel duidelijk uit de Verordening. Wel is het verstandig met het oog op uw bewijspositie, om wijzigingen in verwerkingen en gestaakte verwerkingen te archiveren.

HULP NODIG? Het “Register van Verwerkingsactiviteiten” geeft u inzicht in welke gegevens waar en hoe worden verwerkt. Het is dé basis voor alle uit te voeren AVG activiteiten en uw informatiebeveiliging. Het is daarmee ook gelijk het moeilijkste onderdeel van de AVG om uit te voeren.

Als u advies of hulp nodig heeft, helpen wij u graag. Maak dan vandaag nog een afspraak met AVG-CARE.