.webp?width=2000&height=750&name=ICTRecht%20-%20Header%20-%20Groningen%20(7).webp)
Het verwerkingsregister
Vrijwel elke organisatie is verplicht om een verwerkingsregister bij te houden. Deze verplichting volgt uit de Algemene verordening gegevensbescherming (AVG). Welke organisaties moeten een verwerkingsregister hebben en wat staat daar eigenlijk in?
Wie moet een verwerkingsregister bijhouden?
De hoofdregel is dat organisaties die minstens 250 personen in dienst hebben, een verwerkingsregister moeten bijhouden. Organisaties die minder dan 250 personen in dienst hebben, moeten ook een verwerkingsregister bijhouden als er sprake is van een van onderstaande gevallen:
- organisatie houdt zich bezig met risicovolle verwerkingen (zoals het opstellen van klantprofielen of het verwerken van grote hoeveelheden persoonsgegevens);
- wanneer de verwerking structureel en dus niet incidenteel is; organisatie verwerkt gevoelige gegevens (zoals gegevens over gezondheid en strafrechtelijke gegevens).
Mogelijk opgevraagd door de Autoriteit Persoonsgegevens
Het komt maar zelden voor dat een organisatie geen verwerkingsregister hoeft bij te houden. Dit komt omdat bijna iedere organisatie structureel persoonsgegevens verwerkt. Als een organisatie personeels- of klantgegevens verwerkt, is dat al een structurele verwerking.
Het is belangrijk dat organisaties een verwerkingsregister bijhouden, het register kan namelijk worden opgevraagd door de Autoriteit Persoonsgegevens. In dat geval moet er inzage worden gegeven in het register.
Wat staat er in een verwerkingsregister?
Zowel een verwerkingsverantwoordelijke als een verwerker moet een verwerkingsregister bijhouden. Wat er in het register staat is afhankelijk van de rol die een organisatie heeft.
Bij de verwerkingsverantwoordelijke bevat het verwerkingsregister de volgende informatie:
- naam en contactgegevens van de verwerkingsverantwoordelijke, en van de functionaris gegevensbescherming (indien aanwezig)
- verwerkingsdoeleinden
- categorieën betrokkenen (bijvoorbeeld klanten, websitebezoekers en medewerkers)
- categorieën persoonsgegevens (bijvoorbeeld NAW-gegevens, contactgegevens, financiële gegevens)
- categorieën ontvangers (bijvoorbeeld ICT-dienstverleners)
- informatie over eventuele doorgifte van persoonsgegevens naar een derde land
- bewaartermijnen
- beveiligingsmaatregelen
Bij de verwerker is het register georganiseerd per verwerkingsverantwoordelijke. Verwerkers nemen de volgende informatie op in het verwerkingsregister:
- naam en contactgegevens van de verwerker en de verwerkingsverantwoordelijke, en de functionaris gegevensbescherming (indien aanwezig)
- categorieën verwerkingen
- informatie over eventuele doorgifte van persoonsgegevens naar een derde land
- beveiligingsmaatregelen
Op welke manier kan je een verwerkingsregister bijhouden?
In de AVG is niet vastgelegd op welke wijze organisaties een verwerkingsregister moeten bijhouden. Er zijn verschillende mogelijkheden:
- Excel-sheet (wij stellen kosteloos een voorbeeld verwerkingsregister beschikbaar)
- online tool via JuriBlox
- online tool via Privacy Verified
Meer informatie ontvangen?
Laat een bericht achter via het formulier. Een van onze juridisch adviseurs neemt dan contact met je op.
Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.
Laat je gegevens achter
