-

AVG compliance: het verwerkingsregister – vastleggen wat u doet met persoonsgegevens (8/20)

Op 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Bedrijven en instellingen krijgen een hoop nieuwe regels voor de kiezen, met name gericht op bewijslegging. Een belangrijk instrument daarbij is het verwerkingsregister, de centrale plaats waarin iedere verwerking van persoonsgegevens moet zijn gedocumenteerd. Welke eisen stelt de wet daar nu aan?

Het formeel vastleggen van verwerkingen is een van de weinige echt nieuwe eisen uit de AVG. Doel hiervan is vooral organisaties te dwingen goed na te denken over wat zij doen met persoonsgegevens en waarom. Het register vermeldt voor iedere verwerking wie deze uitvoert, op welke grondslag deze is gebaseerd, hoe deze is beveiligd en hoe lang gegevens worden bewaard.

Bij de term ‘verwerking’ denken veel mensen in eerste instantie aan grote, officiële administraties zoals de personeelsadministratie of salarisadministratie, of het Customer Relationship Management (CRM) systeem met klanten en andere relaties. Deze moeten inderdaad in het register zijn uitgewerkt, maar in het register horen ook de ‘kleinere’ verwerkingen zoals de maandelijkse nieuwsbrief, ritregistraties en cameratoezicht en zelfs dat formulier bij de receptie waar bezoekers zich op intekenen.

Wellicht heeft u gelezen dat de registerplicht niet geldt voor mkb-bedrijven (met minder dan 250 medewerkers). Dit klopt helaas niet helemaal; ook mkb’ers en zelfs zzp’ers moeten het verwerkingsregister gewoon hebben. De wet heeft weliswaar inderdaad een uitzondering voor deze groep, maar zet er meteen bij dat de uitzondering alleen geldt voor incidentele verwerkingen. Een personeelsadministratie of CRM-systeem is natuurlijk structureel en moet dus gewoon in het register opgenomen worden.

Beknopt en duidelijk moet in het verwerkingsregister worden opgenomen:

  • Naam en contactgegevens van de verantwoordelijke entiteit; dit is niet alleen de bedrijfsnaam maar ook de concrete afdeling en de verantwoordelijke manager of business owner.
  • De doeleinden: zoals “Salarisadministratie” of “Beveiliging van pand en goederen middels camera’s met geluidssensoren” met een omschrijving van de grondslag (toestemming, overeenkomst, et cetera).
  • Een omschrijving van betrokkenen: zoals personeel, klanten, bezoekers of passanten.
  • Een omschrijving van ontvangers: zoals de afdeling die het uitvoert, het beveiligingsbedrijf dat de camerabeelden uitkijkt en de politie in geval van strafbare feiten. Ontvangers in landen buiten de EU moeten apart worden genoemd.
  • De bewaartermijnen, inclusief motivatie waarom deze termijnen en niet korter.
  • Een beschrijving van de beveiligingsmaatregelen voor deze verwerking, u mag hierbij verwijzen naar het algemene beveiligingsbeleid.
  • Een inschatting van het risico voor betrokkenen; als u meent dat dit hoger is dan normaal dan moet u een privacy impact assessment (PIA) uitvoeren (waarover in deel 16 meer).

Wanneer u deze verwerking voor een ander uitvoert (u bent dan verwerker), moet u nog steeds gewoon een register beheren met bovengenoemde informatie. Sterker nog, u moet dit dan per klant (per verantwoordelijke) apart voeren, zodat voor iedere klant duidelijk is wat u precies voor hem doet.

Doel van het register is u te dwingen concreet te worden over wat u doet, op welke manier en waarom. De toezichthouder kan op verzoek inzage in het register vorderen om u te controleren. De informatie uit het register zal daarnaast de basis vormen voor de privacyverklaringen die u aan mensen moet verstrekken. Inhoudelijk hebben deze namelijk grote overlap, maar de stijl en taal van de privacyverklaring is wel een heel stuk anders. In deel 9 leest u er alles over.

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.

Dit bericht is 10 keer gedeeld

2 Reacties

Dorus

Hallo Arnoud,

Bedankt voor de duidelijke toelichting van het register!
Je zegt ook dat niet alleen grote, officiële verwerkingen in het register maar alle kleine verwerkingen.
Heb je misschien nog wat voorbeelden van zulke verwerkingen?
Moet ik bijvoorbeeld in het register opnemen dat ik via Slack/mail contacten deel met collega’s?
Of het opbouwen van verschillende profielen, wordt dit als één verwerking gezien of moet elk soort profiel apart in het register komen?

Dorus

Arnoud Engelfriet (ICTRecht) - ICTRecht bv

Het mkb (bedrijven en organisaties met ten hoogste 250 medewerkers) is vrijgesteld van de registerplicht waar het incidentele verwerkingen betreft. Dit zijn verwerkingen die u niet langdurig of continu uitvoert, zoals:
 De inschrijflijst voor het bedrijfsuitje
 Kortdurend cameratoezicht na een aantal malen een onverklaarbaar kasverschil
 Boekingen van hotel of vliegtuigen voor een incidentele zakenreis
 Gebruik van zo’n handige site om een datum te kiezen voor de bestuursvergadering
 Het bij uitzondering via WeTransfer versturen van een groot dossier naar een opdrachtgever

Meer structurele verwerkingen – die u als mkb’er dus wél moet vastleggen in uw register – zijn:
 De personeelsadministratie
 De pensioenadministratie
 Het sollicitantenbestand
 De financiële administratie
 Gegevens van afnemers en leveranciers (Customer Relationship Management, CRM)
 De abonnementenlijst voor uw nieuwsbrieven
 De permanente logging op netwerkfaciliteiten voor bezoekers
 Cameratoezicht in uw gebouwen en terreinen
 Loyaliteitskaarten of spaaracties voor klanten
 Het als fotograaf standaard via WeTransfer versturen van foto’s naar opdrachtgevers

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond