Geen vraag te gek
088 973 06 00

Hoe zet ik een verwerkingsregister op?

Een van de eerste verplichtingen die om de hoek komt wanneer je aan de slag gaat met de nieuwe privacywetgeving is het opzetten van een verwerkingsregister. In dit register neem je op met welke processen binnen de organisatie je persoonsgegevens verwerkt. 

Met het register biedt je transparantie aan de Autoriteit Persoonsgegevens wanneer daar om wordt gevraagd. Daarnaast is het een goed startpunt om kritisch te kijken naar de eigen processen. Vragen die je jezelf daarbij kan stellen: Gebruik ik alle gegevens die ik opvraag? Leef ik de gestelde bewaartermijnen na? Heb ik de juiste beveiligingsmaatregelen genomen? Heb ik met alle partijen die gegevens voor mij verwerken verwerkersovereenkomsten gesloten? 

Het zorgt voor duidelijkheid

Met het overzicht kan worden bepaald wat de invloed is van een datalek of onrechtmatige verwerking voor de betrokkene (welke gegevens eindigen op straat?) en kan worden gekeken wat de kans is dat een dergelijke gebeurtenis zich voordoet. Om aan de registerplicht te voldoen stelt de wet de volgende eisen aan het register: 

a) de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;  

b)  de verwerkingsdoeleinden;  

c)  een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;  

d)  de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;  

e)  indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;  

f)  indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;  

g)  indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen 

Welke processen benoem ik in het register? 

Processen waarbij persoonsgegevens worden verwerkt moeten worden opgenomen in het register. Denk hierbij aan het versturen van nieuwsbrieven, het voeren van de personeelsadministratie en het sluiten van een koopovereenkomst. Ook moeten worden gedacht aan de klantenpas of een spaarsysteem op naam. Iets waar ondernemers minder snel aan denken is bijvoorbeeld cameratoezicht. Ook met cameratoezicht worden persoonsgegevens verwerkt. 

Verder is het belangrijk om het register up-to-date te houden. Een wijziging in een proces of een systeem moet ook worden vastgelegd in het register. Advies: sla je oude versie eerst op, voordat je het register aanpast.  Zo laat je zien dat je er regelmatig naar kijkt en kan je terugkijken naar hoe je eerder iets had geregeld. 

Gebruik jij al de AVG-Tool?

De AVG-Tool van INretail bevat een model van een verwerkingsregister wat al grotendeels vooraf is ingevuld en is afgestemd op de Retail. Daarnaast helpt de tool je ook door de rest van de nieuwe privacy wetgeving. Ga er mee aan de slag, want voor je het weet is het 25 mei! 

Bestel de tool

Delen