AVG compliance: het verwerkingsregister – vastleggen wat u doet met persoonsgegevens (8/20)

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Bedrijven en instellingen krijgen een hoop nieuwe regels voor de kiezen, met name gericht op bewijslegging. Een belangrijk instrument daarbij is het verwerkingsregister, de centrale plaats waarin iedere verwerking van persoonsgegevens moet zijn gedocumenteerd. Welke eisen stelt de wet daar nu aan?

Het formeel vastleggen van verwerkingen is een van de weinige echt nieuwe eisen uit de AVG. Doel hiervan is vooral organisaties te dwingen goed na te denken over wat zij doen met persoonsgegevens en waarom. Het register vermeldt voor iedere verwerking wie deze uitvoert, op welke grondslag deze is gebaseerd, hoe deze is beveiligd en hoe lang gegevens worden bewaard.

Bij de term ‘verwerking’ denken veel mensen in eerste instantie aan grote, officiële administraties zoals de personeelsadministratie of salarisadministratie, of het Customer Relationship Management (CRM) systeem met klanten en andere relaties. Deze moeten inderdaad in het register zijn uitgewerkt, maar in het register horen ook de ‘kleinere’ verwerkingen zoals de maandelijkse nieuwsbrief, ritregistraties en cameratoezicht en zelfs dat formulier bij de receptie waar bezoekers zich op intekenen.

Wellicht heeft u gelezen dat de registerplicht niet geldt voor mkb-bedrijven (met minder dan 250 medewerkers). Dit klopt helaas niet helemaal; ook mkb’ers en zelfs zzp’ers moeten het verwerkingsregister gewoon hebben. De wet heeft weliswaar inderdaad een uitzondering voor deze groep, maar zet er meteen bij dat de uitzondering alleen geldt voor incidentele verwerkingen. Een personeelsadministratie of CRM-systeem is natuurlijk structureel en moet dus gewoon in het register opgenomen worden.

Beknopt en duidelijk moet in het verwerkingsregister worden opgenomen:

• Naam en contactgegevens van de verantwoordelijke entiteit; dit is niet alleen de bedrijfsnaam maar ook de concrete afdeling en de verantwoordelijke manager of business owner.
• De doeleinden: zoals “Salarisadministratie” of “Beveiliging van pand en goederen middels camera’s met geluidssensoren” met een omschrijving van de grondslag (toestemming, overeenkomst, et cetera).
• Een omschrijving van betrokkenen: zoals personeel, klanten, bezoekers of passanten.
• Een omschrijving van ontvangers: zoals de afdeling die het uitvoert, het beveiligingsbedrijf dat de camerabeelden uitkijkt en de politie in geval van strafbare feiten. Ontvangers in landen buiten de EU moeten apart worden genoemd.
• De bewaartermijnen, inclusief motivatie waarom deze termijnen en niet korter.
• Een beschrijving van de beveiligingsmaatregelen voor deze verwerking, u mag hierbij verwijzen naar het algemene beveiligingsbeleid.
• Een inschatting van het risico voor betrokkenen; als u meent dat dit hoger is dan normaal dan moet u een privacy impact assessment (PIA) uitvoeren (waarover in deel 16 meer).

Wanneer u deze verwerking voor een ander uitvoert (u bent dan verwerker), moet u nog steeds gewoon een register beheren met bovengenoemde informatie. Sterker nog, u moet dit dan per klant (per verantwoordelijke) apart voeren, zodat voor iedere klant duidelijk is wat u precies voor hem doet.

Doel van het register is u te dwingen concreet te worden over wat u doet, op welke manier en waarom. De toezichthouder kan op verzoek inzage in het register vorderen om u te controleren. De informatie uit het register zal daarnaast de basis vormen voor de privacyverklaringen die u aan mensen moet verstrekken. Inhoudelijk hebben deze namelijk grote overlap, maar de stijl en taal van de privacyverklaring is wel een heel stuk anders. In deel 9 leest u er alles over.