23 nov. 2017 | Wet & Regelgeving
Register voor verwerken van persoonsgegevens
Zodra de AVG in 2018 in werking treedt, wordt een register verplicht waarin organisaties (verantwoordelijken en bewerkers) de verwerkingen van persoonsgegevens moeten vastleggen. Hoe ziet die verplichting er precies uit?
Verplichtingen verantwoordelijke persoonsgegevens
Volgens de verordening moet elke verantwoordelijke een register bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. In dit register moeten de volgende gegevens worden vastgelegd:
- de naam en de contactgegevens van de verwerkingsverantwoordelijke(n). Daarnaast indien van toepassing de functionaris voor gegevensbescherming;
- de verwerkingsdoeleinden;
- een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
- de categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt;
- indien van toepassing het melden van doorgifte van persoonsgegevens aan een niet EU land;
- indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens worden gewist;
- indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
Verplichtingen verwerker persoonsgegevens
De verwerker (die in de Wet bescherming persoonsgegevens nu nog bewerker heet) moet een register bijhouden van alle categorieën van verwerkingsactiviteiten, die hij voor een verantwoordelijke verricht. In dit register moeten de volgende gegevens worden vastgelegd:
- de naam en contactgegevens van de verwerker en de verantwoordelijke en indien aanwezig de functionaris voor gegevensbescherming;
- de categorieën verwerkingen (dit komt overeen met de doeleinden uit het register van de verantwoordelijke);
- indien van toepassing het melden van doorgifte van persoonsgegevens aan een niet EU land;
- indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
Register van de verwerkingsactiviteiten
Het register moet in (elektronische) schriftelijke vorm worden opgesteld. Het register moet beschikbaar gesteld worden aan de Autoriteit Persoonsgegevens, als deze daartoe verzoekt.
PerfectView heeft een voorbeeld (excel sheet) AVG register verwerkingsverantwoordelijke beschikbaar gesteld op basis van een template van White Wire. (lees hier meer over White Wire)
Uitzonderingen AVG voor het MKB
Het register is niet verplicht voor organisaties, die minder dan 250 personen in dienst hebben, tenzij:
- het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen;
- de verwerking niet incidenteel is;
- of de verwerking bijzondere categorieën van gegevens betreft. Zie hiervoor ook het blog AVG wat verwerk je en waarom.
Of “de uitzondering op de uitzondering” van toepassing is, dient goed beoordeeld te worden !
Volgende week meer info over ‘De Privacy Impact Analyse , PIA’
Vorige week AVG Wat verwerk je en waarom
Wil je reageren op dit artikel? Dat kan via de CRM Community. Deel jouw ervaringen op het gebied van CRM en alles wat er mee te maken heeft.