Register van verwerkingen
De verwerkingsverantwoordelijke en de verwerker van persoonsgegevens moeten een register van de verwerkingsactiviteiten bijhouden. Eerder moest een verwerking van persoonsgegevens nog worden gemeld bij de Autoriteit Persoonsgegevens (AP). Met de AVG is deze meldplicht verdwenen en ligt er meer verantwoordelijkheid bij de organisaties. Wanneer de AP daar om vraagt, moeten de verwerker en verwerkingsverantwoordelijke het register ter beschikking stellen.
Verwerkingsactiviteiten
Iedere verwerkingsverantwoordelijke en verwerker moet een overzicht hebben van welke verwerkingen van persoonsgegevens zij uitvoeren. Volgens artikel 30 AVG moeten de volgende gegevens bijgehouden worden:
- de naam en de contactgegevens van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;
- de verwerkingsdoeleinden;
- een beschrijving van de categorieën van betrokkenen (van wie worden persoonsgegevens verwerkt? Bijvoorbeeld van burgers, oud-werknemers, zorgbehoevenden);
- een beschrijving van de categorieën van persoonsgegevens (wat voor persoonsgegevens worden er verwerkt? Bijvoorbeeld BSN, financiële gegevens, etc.);
- de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
- doorgiften van persoonsgegevens aan een derde land of internationale organisatie (indien van toepassing);
- indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om te beveiligen.
Verwerker
Ook de verwerker is verplicht om een register van de verwerkingsactiviteiten bij te houden die ten behoeve van de verwerkingsverantwoordelijke zijn verricht (art. 30 lid 2 AVG). De verwerker houdt de volgende gegevens in het register bij:
- de naam en de contactgegevens van de verwerkers, van de verwerkingsverantwoordelijke(n) en de functionaris voor gegevensbescherming;
- de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
- de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing);
- indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om te beveiligen.
Aanbevelingen AP
Na de van toepassing wording van de AVG heeft de AP verschillende registers van verwerkingen gecontroleerd. Naar aanleiding van dit onderzoek heeft de AP vijf aanbevelingen gedaan voor het opstellen van een dergelijk register.
Meer weten over het verwerkingsregister?
Werkt u bij een (decentrale) overheidsorganisatie en heeft u een vraag over de AVG? Neem dan contact op met onze helpdesk.
Stel direct uw vraag
