Een verwerkingenregister is juist erg zinvol

door | jul 24, 2020

Een verwerkingenregister is juist erg zinvol

‘Geen administratieve last, maar grip op security- en privacy-management’

Wat is een verwerkingsregister?

Het verwerkingsregister bevat informatie over de persoonsgegevens die je verwerkt. Je mag zelf weten hoe je het register opstelt. Wel schrijft de Algemene verordening gegevensbescherming (AVG) voor welke informatie je als verantwoordelijke of verwerker in het verwerkingsregister moet zetten.

Veel bedrijven en organisaties zien het opstellen van een verwerkingsregister als een vervelende administratieve last van de AVG. Het tegendeel is waar, zegt privacy-expert Joris Bijvoets van AVG Compleet. ,,Je moet het omkeren: het is leuk en belangrijk om te hebben. Het is een ultiem middel om grip te krijgen op security- en privacy-management. Een papieren tijger is het allerminst.’’

Ben ik verplicht om een verwerkingsregister op te stellen?

Het opstellen van een register van verwerkingsactiviteiten (verwerkingsregister) is onder de Algemene verordening gegevensbescherming (AVG) vaak een verplichte maatregel. Of jij een verwerkingsregister moet opstellen, hangt af van de omvang van jouw organisatie en het type gegevens dat je verwerkt.

Organisaties met meer dan 250 medewerkers

Heb je een organisatie met meer dan 250 medewerkers? Dan ben je verplicht om een verwerkingsregister bij te houden.

Organisaties met minder dan 250 medewerkers

Heb je een organisatie met minder dan 250 medewerkers? Dan moet je over een verwerkingsregister beschikken als een of meer van de volgende situaties op jou van toepassing is:

  • De verwerking van persoonsgegevens is niet incidenteel. In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die je verwerkt. Of van jouw klanten, cliënten, patiënten of inwoners.
  • Je verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie jij persoonsgegevens verwerkt.
  • Je verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens. Bijvoorbeeld gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.
ONline training van AVG

Online Training Basiskennis AVG

Bijzonder nuttig als je snel alles wilt leren van privacybescherming.  

Wat staat er in een verwerkingsregister?

In het verwerkingsregister staat beschreven welke persoonsgegevens worden verwerkt, voor welk doel dat gebeurt, en hoe lang die worden bewaard. Hoe groter de organisatie, hoe omvangrijker het opstellen van het verwerkingsregister is. ,,Voor een loodgieter zal dat een Excel-sheet zijn met een paar regels’’, zegt Bijvoets. ,,Voor een grote organisatie zal het Excel-sheet meerdere tabbladen hebben, bijvoorbeeld voor de verschillende afdelingen als Human Resources, Financiën, Marketing en Verkoop. In het beste geval heeft elke verwerking een eigen tabblad, met een uitgebreide beschrijving hoe de persoonsgegevens worden verwerkt.’’

Wij hebben het in dit artikel voor jou op een rijtje gezet.

Is jouw organisatie de verwerkingsverantwoordelijke?

Stelt jouw organisatie zelf het doel en de middelen voor de verwerking van de persoonsgegevens vast? Dan is jouw organisatie de verwerkingsverantwoordelijke.

De AVG schrijft voor dat je als verwerkingsverantwoordelijke de volgende informatie in het register moet opnemen:

  • de naam en contactgegevens van jouw organisatie of de vertegenwoordiger van je organisatie,
  • eventuele andere organisaties met wie je gezamenlijk de doelen en middelen van de verwerking hebt vastgesteld,
  • de functionaris gegevensbescherming (FG), als je die hebt aangesteld,
  • eventuele internationale organisaties waar je persoonsgegevens mee deelt,
  • de doelen waarvoor je de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing,
  • een beschrijving van de categorieën van personen van wie je gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten,
  • een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen,
  • de datum waarop je de gegevens moet wissen (als dat bekend is),
  • de categorieën van ontvangers aan wie je persoonsgegevens verstrekt,
  • deel je de gegevens met een land of internationale organisatie buiten de EU? Dan moet je dit aangeven in het verwerkingsregister,
  • een algemene beschrijving van de technische en organisatorische maatregelen die je hebt genomen om de persoonsgegevens die je verwerkt te beveiligen.

Als het voorgaande ingewikkeld klinkt, we doen vaak een quick scan bij ondernemers. Een makkelijke en goedkope manier om het op orde te krijgen. Binnen 5 dagen weet je alles en krijg je handvatten aangereikt. Lees meer: klik hier

Is jouw organisatie een verwerker?

Verwerk je in opdracht van een verantwoordelijke persoonsgegevens? Bijvoorbeeld omdat je werkt bij een administratiekantoor of een online dienst voor gegevensopslag? Dan moet de volgende informatie in je verwerkingsregister staan:

  • de naam en contactgegevens van jouw organisatie, of de vertegenwoordiger van je organisatie, of de verwerkingsverantwoordelijke,
  • de functionaris gegevensbescherming (FG), als je die hebt aangesteld,
  • een beschrijving van de categorieën van verwerkingen die je in opdracht van iedere verantwoordelijke uitvoert,
  • eventuele internationale organisaties waarmee je persoonsgegevens deelt,
  • deel je de gegevens met een land of internationale organisatie buiten de EU? Dan moet je dit aangeven in het verwerkingsregister,
  • een algemene beschrijving van de technische en organisatorische maatregelen die je hebt genomen om de persoonsgegevens die je verwerkt te beveiligen.

Start met een stakeholder-analyse

Het is een klus die inzichtelijk maakt welke persoonsgegevens eigenlijk allemaal binnen een organisatie rondzwerven. Bijvoets: ,,Je komt erachter dat je bepaalde dingen nog niet weet. Mijn tip is om te beginnen met een stakeholder analyse. Je maakt een overzicht van alle partijen die iets met jou te maken hebben. Je bekijkt welke gegevens worden uitgewisseld en welke afspraken hierover zijn gemaakt. Vervolgens ga je per afdeling kijken: wie doet wat met de gegevens?’’

Leg de coördinatie bij 1 persoon voor het opstellen van een verwerkingsregister

Het is handig om één persoon aan te stellen die dit allemaal in kaart brengt, zoals de privacy officer. ,,Die merkt bijvoorbeeld dat de HR-afdeling een heel belangrijk bestand beheert met gegevens van medewerkers. Misschien is dit bestand wel slecht beveiligd. Door het opstellen van een verwerkingsregister stel je iets in werking dat mensen tot nadenken zet. Je komt te weten welke persoonsgegevens allemaal worden verwerkt en of dit veilig gebeurt. Niet iedereen beseft dat. Het ‘nonchalant’ bijhouden van gegevens is niet genoeg.’’ Bijvoets vergelijkt het met de regel dat je rechts moet rijden in Nederland. ,,Daar hoor je nooit iemand over klagen. Maar het register stel je één keer op en daar is een hoop gemor over. Mensen begrijpen niet hoe prettig het is om dit te hebben.’’

“Goed opzetten van je privacybescherming, vraagt om veel details.” 

Lees er alles over in onze gratis whitepaper.

 

Een checklist op te helpen de AVGAVG opzettem

Download onze gratis checklist, >> klik hier

Er wordt gecontroleerd op het verwerkingsregister door de AP

Het opstellen en beheren van een verwerkingsregister levert aanmerkelijke voordelen op, maar de Autoriteit Persoonsgegevens (AP) controleert ook of organisaties aan deze plicht voldoen. Bijvoets: ,,Als je geen register hebt terwijl dat wel nodig is, riskeer je een boete. In het meest extreme geval kan dit oplopen tot € 20 miljoen, maar de AP zal boetes uitdelen naar billijkheid. Vergeet echter niet dat een boete veel minder relevant is dan het verlies van vertrouwen bij relaties als het misgaat. Als er gegevens op straat komen te liggen. Die schade is veel groter dan die € 10.000 boete die je misschien moet betalen.’’

Maatwerk bij het opstellen van een verwerkingsregister is belangrijk

Het opstellen van een verwerkingsregister is maatwerk en zal voor elke organisatie anders zijn. Bijvoets: ,,Een zzp’er krabbelt wat op een servetje en voor een grote zorginstelling zal zelfs een Excel-sheet met meerdere tabbladen ontoereikend zijn. Zo’n organisatie heeft waarschijnlijk speciale software nodig. Voor veel Mkb’ers voldoet een basistemplate.

Als AVG Compleet helpen wij bedrijven en organisaties daarbij. Als iemand een AVG Quickscan door ons laat uitvoeren, krijg je ook een template voor het opstellen van een verwerkingsregister.’’

 

Op de hoogte blijven van trends in privacy en informatiebeveiliging?

'Schrijf je in op de nieuwsbrief'

"*" geeft vereiste velden aan

Naam*
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Lees ook: