De belangrijkste nieuwe eis in de strengere privacywet AVG, die per 25 mei ingaat, is de verantwoordingsplicht. Dit houdt in dat u bepaalde zaken moet hebben ingericht om de naleving van de AVG aan te kunnen tonen.
Dit geldt onder andere voor het opstellen van een zogenaamd verwerkingsregister. Met het verwerkingsregister verkrijgt u inzicht in welke persoonsgegevens u verwerkt binnen uw organisatie.
Het verwerkingsregister is een registratie van de persoonsgegevens die binnen uw organisatie worden verwerkt. Afhankelijk of u verwerker of verwerkingsverantwoordelijke bent dient u minimaal bepaalde informatie vast te leggen.
Heeft uw bedrijf met meer dan 250 werknemers? Dan bent u verplicht een register van verwerkingen bij te houden. Heeft een bedrijf minder dan 250 werknemers in dienst, dan moet het ook over een verwerkingsregister beschikken, wanneer:
Let op! Aangezien veruit de meeste verwerkingen niet incidenteel zijn, denk aan het verwerken van persoonsgegevens van medewerkers of klanten, zullen de meeste mkb-bedrijven vrijwel altijd een verwerkingsregister op moet stellen.
Het register van de verwerkingsverantwoordelijke moet de volgende gegevens bevatten:
Het register van de verwerker moet de volgende gegevens bevatten:
Verwerkingsverantwoordelijke: een organisatie die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerker: een organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
In het geval een verantwoordelijke persoonsgegevens laat verwerken door een verwerker (denk bijvoorbeeld aan de uitbestede salarisadministratie van uw organisatie) dan dienen de verwerkingsregisters van verantwoordelijke en verwerker op elkaar aan te sluiten. In het geval de verwerker op zijn beurt ook weer bepaalde verwerkingen uitbesteed, denk aan een SAAS-dienstverlener of een hostingpartij, dan dient de subverwerker ook een verwerkingsregister te hebben. Zie onderstaande afbeelding van een verwerkingsketen.
In onderstaande afbeelding ziet u op welke wijze u dit register op kunt zetten in een eenvoudige tabel of spreadsheet. Bovenaan de kolommen staan de categorieën van gegevens vermeld die u per proces dient te registeren. Ook maakt u hiermee inzichtelijk welke partijen (verwerkers) beschikken over uw persoonsgegevens en welke maatregelen u heeft getroffen om deze te beschermen.
Het verwerkingsregister geeft u inzicht in wat u heeft geregeld met betrekking tot de verwerking van persoonsgegevens. Met behulp van het ingevulde register kunt u bepalen in welke proces of activiteit u zaken nog niet heeft ingeregeld, welke risico’s u mogelijk loopt en of de maatregelen die u heeft getroffen afdoende zijn. U kunt dit ook periodiek evalueren.
Mogelijke acties op basis van het verwerkingsregister:
Tip: Wij kunnen u helpen om AVG-proof te worden als het gaat om de verwerkersovereenkomst die u met ons dient af te sluiten. Wij hebben een modelovereenkomst voor u klaarliggen. Belt u ons erover!
Bron: SRA