Register van de verwerkingsactiviteiten
Vanaf 25 mei 2018, wanneer de Algemene verordening gegevensbescherming (AVG) toegepast moet worden, moeten de verwerkingsverantwoordelijke en de verwerker van gegevens een register van de verwerkingsactiviteiten bijhouden. Momenteel moet een verwerking van persoonsgegevens nog worden gemeld bij de Autoriteit Persoonsgegevens – AP (art. 27 Wet bescherming persoonsgegevens). Deze meldplicht voorafgaand aan een verwerking, is niet meer opgenomen in de AVG.
Verwerkingsactiviteiten
Iedere verwerkingsverantwoordelijke en verwerker moet een overzicht hebben van welke verwerkingen van persoonsgegevens zij uitvoeren. Dit kunnen verwerkingen zijn die een wettelijke grondslag hebben, maar ook verwerkingen waarvoor toestemming gegeven is door de betrokkene. Het register dient ook bijgehouden te worden. Wanneer er een nieuwe verwerking plaatsvindt, moet deze in het register komen te staan.
Verwerkingsverantwoordelijke
Iedere verwerkingsverantwoordelijke moet een register van de verwerkingsactiviteiten die onder de verantwoordelijkheid van de verwerkingsverantwoordelijke vallen, in een register bij te houden (art. 30 AVG). Dit register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld. De verwerkingsverantwoordelijke houdt de volgende gegevens in het register bij:
- de naam en de contactgegevens van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;
- de verwerkingsdoeleinden;
- een beschrijving van de categorieën van betrokkenen (Van wie worden persoonsgegevens verwerkt? Bijvoorbeeld van burgers, oud-werknemers, zorgbehoevenden);
- een beschrijving van de categorieën van persoonsgegevens (Wat voor persoonsgegevens worden er verwerkt? bijvoorbeeld BSN financiële gegevens, etc.);
- de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
- doorgiften van persoonsgegevens aan een derde land of internationale organisatie (indien van toepassing);
- indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om te beveiligen.
Verwerker
Ook de verwerker is verplicht om een register van de verwerkingsactiviteiten bij te houden die ten behoeve van de verwerkingsverantwoordelijke zijn verricht (art. 30 lid 2 AVG). Dit register is ook in schriftelijke vorm, waaronder elektronische vorm opgesteld. De verwerker houdt de volgende gegevens in het register bij:
- de naam en de contactgegevens van de verwerkers, van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;
- de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
- de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing);
- indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om te beveiligen.
Autoriteit persoonsgegevens
De verwerkers of de verwerkingsverantwoordelijken moeten , wanneer de Autoriteit Persoonsgegevens daar om vraagt, het register ter beschikking stellen (art. 30 lid 4 AVG).
MEER WETEN OVER DE AVG?
Kijk ook op onze themapagina of Stel direct uw vraag
