Wat is een verwerkingsregister en hoe zet je dit veilig op?

Sinds 25 mei 2018 is de AVG (Algemene Verordening Gegevensbescherming) van kracht. Een verschil met de wet daarvoor, is het verwerken van persoonsgegevens en de privacy die daarbij komt kijken. Het verwerken van persoonsgegevens kan daardoor voor bedrijven een uitdaging zijn. Een verwerkingsregister geeft organisaties inzicht in welke persoonsgegevens verwerkt worden. Daarnaast zie je in een verwerkingsregister ook waarom deze persoonsgegevens verwerkt worden, waar ze verwerkt worden en of er een verwerkingsovereenkomst aanwezig is.

Wanneer de autoriteit persoonsgegevens komt controleren, moet je altijd in staat zijn om je als organisatie te verantwoorden. Het foutief verwerken van persoonsgegevens kan gezien worden als inbreuk op de privacy van degene waar de gegevens toe behoren. Werken met een goed bijgehouden verwerkingsregister voorkomt foutief verwerken van persoonsgegevens, en daarmee eventuele boetes.

Het verwerkingsregister & AVG

Er moet altijd een gegronde reden zijn om persoonsgegevens te verwerken in een verwerkingsregister. Persoonsgegevens mogen alleen verwerkt worden wanneer de persoon in kwestie hier zelf toestemming voor heeft gegeven. Daarnaast moet er minimaal één van onderstaande grondslagen van kracht zijn om persoonsgegevens te mogen verwerken.

De verwerking van gegevens is noodzakelijk om…

• Te voldoen aan de regels rondom verplichte verwerking van persoonsgegevens;
• Denk hierbij aan de verwerking van persoonsgegevens door de belastingdienst.
• Een overeenkomst uit te voeren;
• Vitale belangen te beschermen;
• Een taak van algemeen belang of openbaar gezag uit te oefenen;
• Gerechtvaardigde belangen te behartigen.

Is het hebben van een verwerkingsregister verplicht?

Voor bedrijven groter dan 250 medewerkers is het verwerken van persoonsgegevens in een verwerkingsregister volgens de AVG verplicht. Wanneer een organisatie kleiner is dan 250 medewerkers is volgens de Autoriteit Persoonsgegevens een verwerkingsregister alleen verplicht als een van onderstaande van toepassing is:

• “De verwerking van persoonsgegevens is niet incidenteel. In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners.”
• “U verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.”
• “U verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens. Bijvoorbeeld gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.”

Wat staat er in een verwerkingsregister?

Als je verwerkingsverantwoordelijke bent van persoonsgegevens, dan moet je onder de AVG-wetgeving de volgende informatie opnemen in je register:

1. Naam en contactgegevens
   1. Van je organisatie, of de vertegenwoordiger van je organisatie;
   2. Van andere organisaties waarmee je gezamenlijke doelen hebt vastgesteld, of met wie je samen gegevens verwerkt;
   3. Van de aangestelde functionaris gegevensbescherming (FG) binnen jouw organisatie;
   4. Van de internationale organisaties met wie je persoonsgegevens deelt.
2. Doeleinden
   1. Het moet altijd duidelijk zijn waarom je persoonsgegevens verwerkt. Dit kan zijn voor werving en selectie, maar ook voor het bezorgen van producten of voor marketing activiteiten.
3. Betrokkenen
   1. Benoem de categorieën van personen van wie gegevens worden verwerkt. Dit kunnen klanten zijn, of patiënten of cliënten. Maar denk hierbij ook aan ingehuurd extern personeel.
4. Persoonsgegevens
   1. Benoem welke soort persoonsgegevens je verwerkt. Denk hierbij aan bijvoorbeeld BSN nummers, NAW-gegevens, telefoonnummers en e-mailadressen, visueel materiaal (foto’s, video’s) en/of IP-adressen.
5. Bewaartermijnen
   1. Het moet duidelijk zijn wanneer je gegevens gaat wissen (voor zover dit bekend is)
6. Ontvangers
   1. Aan wie verstrek je de persoonsgegevens? Deel deze ontvangers ook op in categorieën.
7. Buiten de EU
   1. Als je persoonsgegevens deelt met landen of internationale organisaties buiten de EU, dan moet dit ook beschreven staan. Zeker belangrijk om in het achterhoofd te houden omdat buiten de EU andere wetgevingen gelden waardoor anders met persoonsgegevens om wordt gegaan.
8. Beveiliging
   1. Benoem op welke manier jij met jouw organisatie ervoor zorgt dat de persoonsgegevens die je verwerkt, veilig worden verwerkt. Dit kunnen technische of organisatorische maatregelen zijn.

Is jouw organisatie een verwerker van informatie omdat je in opdracht van anderen met persoonsgegevens werkt? Dan hoe je alleen naam en contactgegevens, verwerkingen, internationale doorgifte, buiten de EU en beveiliging in je verwerkingsregister te vermelden. 

Het gemak en voordeel van werken met gespecialiseerde software

Omdat het dus belangrijk is om nauwkeurig om te gaan met alle opgeslagen informatie, is het slim te werken met software dat gespecialiseerd is in het veilig opslaan van documenten. Je moet er tenslotte niet aan denken dat al je privacygevoelige persoonsgegevens door een datalek per ongeluk op straat komen te liggen, toch?

Dit betekent dat de software waarmee je werkt jou moet helpen om het lekken van data te voorkomen, bijvoorbeeld doormiddel van document encryptie.

Daarnaast moet de software zélf ook voldoen aan de AVG-wetgeving. Hiermee bedoelen we dat het bijvoorbeeld belangrijk is dat persoonsgegevens niet naar servers in de Verenigde Staten wordt gestuurd. De privacywetgevingen zijn daar heel anders dan in de EU, waarmee software dat wel deze data verstuurd niet voldoet aan de AVG.

Ook is het erg fijn als correct documentbeheer toegepast wordt. Op het moment dat de Autoriteit Persoonsgegevens aan jouw deur klopt voor tekst en uitleg, wil je tenslotte snel en zonder twijfel de meest accurate en laatste versie van documenten kunnen overleggen. Dit scheelt je tijd en zorgen, en voorkomt het risico op boetes.