Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01

Factsheets / Het register van verwerkingen van persoonsgegevens

Uw organisatie verwerkt persoonsgegevens, waarschijnlijk op meer plekken dan u denkt. Vanaf 25 mei 2018 weet u dat hopelijk precies, want vanaf die dag moet u een interne registratie van álle bestanden en gebruik van persoonsgegevens hebben.

Die dag treedt namelijk de Algemene Verordening Gegevensbescherming (AVG /GDPR) in werking, met strenge nieuwe eisen over beveiliging, datalekken, compliance en aansprakelijkheid. De boetes zijn hoog. Actie is dus geboden!

> DOWNLOAD FACTSHEET ‘HET REGISTER VAN VERWERKINGEN VAN PERSOONSGEGEVENS’

> DOWNLOAD HET VOORBEELD VERWERKINGSREGISTER VAN ICTRECHT (EXCEL-SHEET)

> BEKIJK ONZE PRIVACYTRAININGEN

Wie moet een register bijhouden?

Een register moet in elk geval worden bijgehouden wanneer een organisatie meer dan 250 personen in dienst heeft. Zowel een verantwoordelijke als de door hem ingeschakelde hulppersonen (zogeheten verwerkers) moeten een register bijhouden. De verantwoordelijke is de partij die bepaalt welke persoonsgegevens worden verwerkt, voor welk doel, en met welke middelen. Bijvoorbeeld een webshop die een bestand heeft met namen en adresgegevens van klanten om bestellingen te kunnen leveren. Een verwerker verwerkt persoonsgegevens namens een verant-woordelijke. Bijvoorbeeld in het geval van een hostingprovider, of wanneer salaris-administratie wordt uitbesteed.

Een organisatie met minder dan 250 personen in dienst hoeft alleen een register bij te houden bij risicovolle verwerkingen (zoals het opstellen van klantprofielen, of het verwerken van grote hoeveelheden gegevens), wanneer structureel persoonsgegevens verwerkt worden, of bij het verwerken van gevoelige gegevens.

Wat staat er in het register?

Bij de verantwoordelijke bevat het register de volgende informatie:

  • de naam en contactgegevens van verantwoordelijke (of diens vertegenwoordiger, wanneer de verantwoordelijke buiten de EU is gevestigd), en van de functionaris voor gegevensbescherming (indien aanwezig);
  • de doeleinden waarvoor gegevens worden verwerkt;
  • de categorieën gegevens (zoals NAW-gegevens, contactgegevens, betaalgegevens);
  • de categorieën betrokkenen (bijvoorbeeld: klanten, websitebezoekers, werknemers);
  • de categorieën ontvangers (aan wie worden de gegevens verstrekt?);
  • informatie over eventuele doorgifte van gegevens naar landen buiten de EU;
  • de bewaartermijnen van de gegevens;
  • de manieren waarop gegevens zijn beveiligd (bijvoorbeeld: encryptie, logische toegangscontrole, pseudonimisering).

Bij de verwerker is het register georganiseerd per verantwoordelijke. Verwerkers registreren per verantwoordelijke voor wie zij werken:

  • de naam en contactgegevens van de verwerker en de verantwoordelijke (of hun vertegenwoordigers) en (indien aanwezig) de functionaris voor gegevensbescherming;
  • de categorieën verwerkingen (dit komt overeen met de doeleinden uit het register van de verantwoordelijke);
  • informatie over eventueel doorgifte van gegevens naar landen buiten de EU;
  • de manieren waarop gegevens zijn beveiligd.

Het register kan worden opgevraagd door de Autoriteit Persoonsgegevens. Een organisatie is dan verplicht inzage te geven.

Op welke manier kan ik een register bijhouden?

Wilt u meer weten over het registreren van gegevensverwerkingen, of andere aspecten van de regelgeving over persoonsgegevens?

Neem dan contact op met de privacyjuristen van ICTRecht, Lisette Chew-Meij, Peter Kager of Mathieu Paapst via l.meij@ictrecht.nl, p.kager@ictrecht.nl of m.paapst@ictrecht.nl. Of volg onze privacytrainingen voor juridische professionals of algemeen publiek.

Andere factsheets

  • Gamerecht

    Een game tot een succes maken vereist samenwerking tussen diverse partijen en het nemen van de nodige risico’s. Om dat allemaal in goede banen te leiden, is duidelijkheid met betrekking tot uw juridische positie van groot belang. In deze factsheet benoemen we de belangrijkste punten wat betreft de bescherming van intellectueel eigendom, het aangaan van overeenkomsten met partners, het opstellen van licentie- en gebruiksvoorwaarden en het aanbieden van (promotionele) kansspelen.

  • Het registreren van datalekken

    Heeft u al een datalek gehad? Sinds januari 2016 is het verplicht dit te melden, als het een relatief groot datalek was. Maar vanaf 25 mei 2018 moet u intern documenteren welke datalekken er zijn geweest, ook als het gaat om kleine kwesties.