Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01

Factsheets / Het register van verwerkingen van persoonsgegevens

Volgens de Algemene Verordening Gegevensbescherming (AVG, of: GDPR) moeten organisaties onder bepaalde omstandigheden een register van verwerkingen van persoonsgegevens bijhouden. Uw organisatie verwerkt persoonsgegevens, waarschijnlijk op meer plekken dan u denkt. Maar moet u ook een register bijhouden? En wat staat er precies in een register?

> DOWNLOAD FACTSHEET ‘HET REGISTER VAN VERWERKINGEN VAN PERSOONSGEGEVENS’

> DOWNLOAD HET VOORBEELD VERWERKINGSREGISTER VAN ICTRECHT (EXCEL-SHEET)

> KLIK HIER VOOR ONZE PRIVACY-ADVIEZEN & DIENSTEN

WIE MOET EEN REGISTER BIJHOUDEN?

Een register moet in elk geval worden bijgehouden wanneer een organisatie meer dan 250 personen in dienst heeft. Zowel een verantwoordelijke als de door hem ingeschakelde hulppersonen (zogeheten verwerkers) moeten een register bijhouden. De verantwoordelijke is de partij die bepaalt welke persoonsgegevens worden verwerkt, voor welk doel, en met welke middelen. Bijvoorbeeld een webshop die een bestand heeft met namen en adresgegevens van klanten om bestellingen te kunnen leveren. Een verwerker verwerkt persoonsgegevens namens een verantwoordelijke. Bijvoorbeeld in het geval van een hostingprovider, of wanneer salarisadministratie wordt uitbesteed.

Een organisatie met minder dan 250 personen moet een register bijhouden:

  • bij risicovolle verwerkingen (zoals het opstellen van klantprofielen, of het verwerken van grote hoeveelheden gegevens);
  • wanneer de verwerking structureel en dus niet incidenteel is;
  • bij het verwerken van gevoelige gegevens (zoals gegevens over gezondheid en strafrechtelijke gegevens).

Het komt maar zelden voor dat een organisatie geen register hoeft bij te houden. Dit komt doordat bijna iedere organisatie structureel persoonsgegevens verwerkt. Als een organisatie personeels- of klantgegevens verwerkt is dat immers al een structurele verwerking.

WAT STAAT ER IN HET REGISTER?

Bij de verantwoordelijke bevat het register de volgende informatie:

  • de naam en contactgegevens van verantwoordelijke (of diens vertegenwoordiger, wanneer de verantwoordelijke buiten de EU is gevestigd), en van de Functionaris Gegevensbescherming (indien aanwezig);
  • de doeleinden waarvoor gegevens worden verwerkt;
  • de categorieën gegevens (zoals NAW-gegevens, contactgegevens, betaalgegevens);
  • de categorieën betrokkenen (bijvoorbeeld: klanten, websitebezoekers, werknemers);
  • de categorieën ontvangers (aan wie worden de gegevens verstrekt?);
  • informatie over eventuele doorgifte van gegevens naar landen buiten de EU;
  • de bewaartermijnen van de gegevens;
  • de manieren waarop gegevens zijn beveiligd (bijvoorbeeld: encryptie, logische toegangscontrole, pseudonimisering).

Bij de verwerker is het register georganiseerd per verantwoordelijke. Verwerkers registreren per verantwoordelijke in het register:

  • de naam en contactgegevens van de verwerker en de verantwoordelijke (of hun vertegenwoordigers) en (indien aanwezig) de Functionaris Gegevensbescherming;
  • de categorieën verwerkingen (dit komt overeen met de doeleinden uit het register van de verantwoordelijke);
  • informatie over eventueel doorgifte van gegevens naar landen buiten de EU;
  • de manieren waarop gegevens zijn beveiligd.

Het register kan worden opgevraagd door de Autoriteit Persoonsgegevens. Een organisatie is dan verplicht inzage te geven.

OP WELKE MANIER KAN IK EEN REGISTER BIJHOUDEN?

Dit kan op eenvoudige wijze, bijvoorbeeld:

>> Wilt u meer weten over het registreren van gegevensverwerkingen?

Neem dan contact op met de privacy juristen van ICTRecht: Lisette Chew-Meij (l.meij@ictrecht.nl), Peter Kager (p.kager@ictrecht.nl) of Mathieu Paapst (m.paapst@ictrecht.nl) of bel: 020 663 1941.

Andere factsheets

  • Algemene voorwaarden

    Algemene voorwaarden geven ondernemers de mogelijkheid om in één keer regels over de niet-essentiële aspecten van hun dienstverlening te stellen. Er zijn de nodige valkuilen bij algemene voorwaarden. In deze factsheet leest u welke.

  • Geef hier die domeinnaam!

    Wie op internet actief wil zijn, heeft een goede domeinnaam nodig. Aan deze naam worden de website en e-mailadressen van het bedrijf gekoppeld. Wie een bekende handels- of merknaam heeft, registreert die natuurlijk als domeinnaam.