Register van verwerkingen

Volgens de Algemene verordening gegevensbescherming (AVG) moeten de verwerkingsverantwoordelijke en de verwerker van persoonsgegevens een register van de verwerkingsactiviteiten bijhouden. Eerder moest een verwerking van persoonsgegevens nog worden gemeld bij de Autoriteit Persoonsgegevens (AP). Met de AVG is deze meldplicht verdwenen en ligt er meer verantwoordelijkheid bij de organisatie zelf. Wanneer de AP er om vraagt, moeten de verwerkingsverantwoordelijke en verwerker het register ter beschikking stellen.

Gegevens in register van verwerkingsverantwoordelijke

Iedere verwerkingsverantwoordelijke en verwerker moet een overzicht hebben van welke verwerkingen van persoonsgegevens zij uitvoeren. Volgens artikel 30 AVG moeten de volgende gegevens bijgehouden worden:

  • De naam en de contactgegevens van de verwerkingsverantwoordelijke(n) en de Functionaris voor gegevensbescherming;
  • De verwerkingsdoeleinden;
  • Een beschrijving van de categorieën van de betrokkenen (van wie worden de persoonsgegevens verwerkt? Bijvoorbeeld van burgers, oud-werknemers, zorgbehoevenden);
  • Een beschrijving van de categorieën van persoonsgegevens (wat voor persoonsgegevens worden er verwerkt? Bijvoorbeeld BSN, financiële gegevens, etc.);
  • De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt (wie ontvangt de persoonsgegevens? Bijvoorbeeld zorginstellingen, overheidsinstanties, etc.);
  • Doorgifte van persoonsgegevens aan een derde land (buiten de EU) of internationale organisatie (indien van toepassing);
  • Indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn ter beveiliging.

Gegevens in register van verwerker

Ook de verwerker is verplicht om een register van de verwerkingsactiviteiten bij te houden die ten behoeve van de verwerkingsverantwoordelijke zijn verricht (artikel 30 lid 2 AVG). Dit gebeurt wanneer de verwerker gegevens structureel verwerkt, wanneer de verwerking risico’s inhoudt voor betrokkenen of als er bijzondere of strafrechtelijke gegevens worden verwerkt. De verwerker houdt de volgende gegevens in het register bij:

  • De naam en de contactgegevens van de verwerkers, van de verwerkingsverantwoordelijke(n) en de Functionaris voor Gegevensbescherming;
  • De categorieën van verwerkingen die door de verwerker voor iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • De doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing);
  • Indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn ter beveiliging.

Aanbevelingen Autoriteit Persoonsgegevens voor register

De AP heeft verschillende registers van verwerkingen gecontroleerd. Naar aanleiding van dit onderzoek heeft de AP vijf aanbevelingen gedaan voor het opstellen van een dergelijk register:

  1. De verwerkingsverantwoordelijke moet benoemen hoe lang en met welk doel hij de persoonsgegevens wil bewaren. Onder de AVG is het niet toegestaan om persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten decentrale overheden motiveren waarom ze deze gegevens verzamelen;
  2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register;
  3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren;
  4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen;
  5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden is niet voldoende.