Weet je het nog? AVG staat voor 'Algemene verordening gegevensbescherming'. Sinds 25 mei 2018 is deze wetgeving van kracht. Aan jou en je medewerkers de uitdaging om voor die tijd AVG-compliant te zijn. In deze derde blog in de AVG-serie, vertel ik je graag over het bijhouden van een register van verwerkingsactiviteiten.
Voordat we inhoudelijk op het derde onderwerp ingaan, geef ik je graag een korte terugblik op de voorgaande blogs.
In mijn eerste blog 'Een goed AVG-proces voorkomt boetes' las je wat er precies van je verwacht wordt en hoe de processen op jouw kantoor hierop aansluiten.
In mijn tweede blog 'Accountability in AVG: van verwerker tot verantwoordelijke' schreef ik over de verplichtingen waar ondernemingen aan moeten voldoen volgens het accountability vereiste. Onderstaand nogmaals op een rijtje:
- Het bijhouden van een register van verwerkingsactiviteiten.
- Het uitvoeren van een data protection impact assessment (DPIA).
- Het bijhouden van een register van datalekken die zijn opgetreden.
- Het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer jij voor een verwerking toestemming nodig hebt.
- Wanneer onduidelijk is of je verplicht bent om een functionaris voor gegevensbescherming (FG) aan te stellen, moet je goed kunnen onderbouwen waarom je ervoor kiest om al dan niet een FG aan te stellen.
Register van verwerkingsactiviteiten
In deze blog 'Accountability in AVG: register van verwerkingsactiviteiten' vertel ik je over het bijhouden van een register van verwerkingsactiviteiten. Wat houdt deze verplichting in?
De eerste vraag is of jouw organisatie überhaupt moet voldoen aan deze verplichting. Dit is het geval als jouw kantoor meer dan 250 werknemers heeft. Zijn dat er minder dan 250 werknemers, dan moet je alleen een register bijhouden als het verwerken van persoonsgegevens door jouw organisatie:
- hoge risico’s inhoudt voor de rechten en vrijheden van degene van wie je data verwerkt (denk hierbij aan de kans op identiteitsfraude of financiële nadelige gevolgen hiervan) en/of;
- de verwerking niet incidenteel is (gegevens worden doorlopend verwerkt, niet eenmalig) en/of;
- het bijzondere persoonsgegevens betreft in de zin van de GDPR (zoals medische, politieke, religieuze gegevens).
De verplichting geldt dus sowieso als jouw organisatie meer dan 250 werknemers heeft. De Autoriteit Persoonsgegevens kan vragen om directe inzage in het register en daar moet je als organisatie in voorzien.
Wat staat er in het register verwerkingsactiviteiten?
Het goede nieuws is dat het format vormvrij is. Je kunt hier dus een tool voor gebruiken, maar ook gewoon een excellijst bijhouden. Het doel is om vast te leggen welke persoonsgegevens je verwerkt. Om die reden is de inhoud wel gebonden aan vereisten.
Wat er in het register moet staan is afhankelijk van je rol. Ben je verantwoordelijke, dan moet het volgende in het register staan:
- Naam en contactgegevens van je organsatie en andere organisatie(s) met wie je gezamenlijk veranwoordelijke bent en de Data Protection Officer die je hebt aangesteld.
- Daarnaast contactgegevens van andere internationale organisaties met wie je persoonsgegevens deelt.
- Doeleinden waarvoor je persoonsgegevens verwerkt, bijvoorbeeld recruitment of direct marketing.
- Een omschrijving van de categorieen personen van wie je de persoonsgegevens verwerkt. Bijvoorbeeld klanten of prospects.
- Een omschrijving van de categorieën persoonsgegevens die je verwerkt, zoals BSN, IP-adressen of contactgegevens.
- De datum wanneer je de data gaat verwijderen (als dat bekend is).
- Categorieën van ontvangers aan wie je de persoonsgegevens stuurt.
- Als je persoonsgegevens deelt buiten de Europees Economische Ruimte (EER), dan moet je dat als zodanig benoemen in het register.
- Een algemene omschrijving van de technische en organisatorische maatregelen die je hebt genomen om de persoonsgegevens te beschermen.
Als je verwerker bent in de zin van de AVG, dan wordt de lijst aanmerkelijk korter, namelijk:
- Naam en contactgegevens van je organisatie, van de verantwoordelijke en van de Data Protection Officer die je hebt aangesteld.
- Omschrijving van de categorieën van verwerking die je mag uitvoeren op basis van de opdracht van de verantwoordelijke.
- Organisaties met wie je data deelt en of dat buiten de Europees Economische Ruimte (EER) gebeurd.
- Een algemene omschrijving van de technische en organisatorische maatregelen die je hebt genomen om de persoonsgegevens te beschermen.