De nieuwe Europese GDPR, General Data Protection Regulation bij ons de AVG geheten, spreekt in artikel 30 over ‘Record of processing activities’ ook wel bekend als een ‘Verwerkingsregister’ of kortweg VR. Is een VR altijd verplicht, ook voor kleine bedrijven? Waar moet je op letten bij het opstellen van het verwerkingsregister? En wat moet er in ieder geval in staan?
Wie moet een Verwerkingsregister opstellen?
De GDPR maakt een onderscheid tussen een controller (degene verantwoordelijk voor de verwerking van persoonsgegevens) en een processor (de verwerker er van). Beiden moeten een verwerkingsregister opstellen.
Waarom een Verwerkingsregister?
Het VR is het basisdocument waarmee bedrijven voor de AVG aantonen dat ze zorgvuldig omgaan met persoonsgegevens. Zie het als een boekhouding maar dan voor persoonlijke data. Net zoals bedrijven de wettelijke plicht hebben een gedegen financiële administratie te voeren is er met de AVG/GDPR nu de wettelijke plicht om een gedegen (persoonlijke) data administratie te voeren. De essentie is dat bedrijven met het verwerkingsregister feitelijk gedwongen worden in detail te begrijpen wat ze aan (persoonlijke) data opslaan en waar, in welke systemen.
Ben ik als klein bedrijf ook verplicht een Verwerkingsregister op te stellen?
Een VR is een basis-eis. Sommigen denken dat dit alleen geldt voor organisaties met meer dan 250 medewerkers maar dat is niet het geval. Een Verwerkingsregister is verplicht voor alle organisaties, groot of klein en ook voor zzp’ers. Alleen als de verwerkingen van persoonsgegevens incidenteel is, is een VR niet nodig. In de praktijk zijn verwerkingen vrijwel altijd structureel en niet incidenteel en heb je dus altijd de plicht een verwerkingsregister te hebben en te onderhouden.
Wat moet er in het Verwerkingsregister staan?
Dat verschilt of je in de rol van verwerkingsverantwoordelijke bent of als verwerker:
Verwerkingsverantwoordelijke
a) Naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden;
c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.
Verwerker
2. De verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:
a) de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;
b) de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
c) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
d) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.