Verwerkingsregister bijhouden

Deze informatie is geplaatst door

Antwoord voor bedrijven

Verwerkt uw bedrijf persoonsgegevens? Zoals het bewaren, gebruiken of delen van bijvoorbeeld namen, adresgegevens en telefoonnummers? Dan heeft u een verantwoordingsplicht. U moet kunnen laten zien dat u aan de privacywetgeving, de Algemene verordening gegevensbescherming AVG), voldoet. Een verwerkingsregister is mogelijk verplicht voor u. De toezichthouder Autoriteit Persoonsgegevens kan dit controleren.

Hoe houdt u zich aan de AVG?

In de privacywetgeving (AVG) staan een aantal maatregelen waaraan u zich moet houden:

  • Een verwerkingsregister bijhouden
  • Een data protection impact assessment (DPIA) doen bij een hoog privacyrisico
  • Een register bijhouden van datalekken
  • Aantonen dat er toestemming is gegeven voor de verwerking van de persoonsgegevens
  • Onderbouwen waarom u wel/niet een Functionaris voor de gegevensbescherming heeft

Is een verwerkingsregister verplicht?

Of een verwerkingsregister AVG voor u verplicht is, heeft te maken met het soort gegevens dat uw bedrijf verwerkt en hoe groot uw bedrijf is.

Werken er meer dan 250 mensen in uw bedrijf? Dan moet u een verwerkingsregister bijhouden.

Werken er minder dan 250 mensen in uw bedrijf? Dan hoeft u geen verwerkingsregister bij te houden.

Let op: in de volgende situaties moet u ook bij minder dan 250 medewerkers een verwerkingsregister bijhouden:

  • Het verwerken van persoonsgegevens gebeurt vaak.
  • Het verwerken van persoonsgegevens heeft een hoog risico voor de rechten en vrijheden van de betrokken personen.
  • U verwerkt bijzondere persoonsgegevens. (Bijvoorbeeld gegevens over gezondheid, religie, politieke voorkeur of strafrechtelijke gegevens)

Bent u verplicht een verwerkingsregister bij te houden? Dan moet u dit kunnen laten zien als de toezichthouder Autoriteit Persoonsgegevens dat vraagt.

Wat staat er in het verwerkingsregister?

In het verwerkingsregister staat informatie over persoonsgegevens die u verwerkt. U mag zelf weten hoe u het verwerkingsregister opstelt. Volgens de privacywet moet er in ieder geval het volgende in een verwerkingsregister staan:

  • De naam en contactgegevens van uw bedrijf.
  • Eventuele andere organisaties waarmee u bepaalt welke gegevens u verwerkt en hoe.
  • Wie de functionaris voor de gegevensbescherming (FG) is (als u die heeft).
  • Het doel van de gegevensverwerking.
  • Een beschrijving van de personen van wie u gegevens verwerkt.
  • Een beschrijving van de soort gegevens.
  • De datum waarop u de gegevens moet wissen.
  • Met welke organisaties u de persoonsgegevens deelt en of dit organisaties buiten de EU zijn.
  • Een beschrijving van de maatregelen om de persoonsgegevens te beveiligen.

Voorbeeld verwerkingsregister

Er bestaat geen standaard model van een verwerkingsregister. U mag zelf bepalen hoe u het verwerkingsregister opstelt. Volgens de privacywet moeten de bovenstaande punten in ieder geval in een verwerkingsregister staan. Zoekt u een voorbeeld van een verwerkingsregister voor uw bedrijf? Informeer dan bij uw brancherorganisatie.

Verwerker moet ook verwerkingsregister bijhouden

Bent u niet de organisatie die bepaalt waarom en hoe de persoonsgegevens worden gebruikt (de verwerkingsverantwoordelijke)? Maar verwerkt u persoonsgegevens in opdracht van een andere organisatie (de verwerker)? Dan moet u ook een verwerkingsregister bijhoudenExternal link.

Privacyverklaring

Als u persoonsgegevens verwerkt heeft u naast een verantwoordingsplicht ook een informatieplicht. U moet uw klanten laten weten wat u met hun persoonsgegevens doet. Dat kunt u doen met een privacyverklaring.

Deze informatie is geplaatst door

Antwoord voor bedrijven