Het verwerkingsregister: wie, hoe en wat?

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze datum komt steeds dichterbij. Onderdeel van de AVG is dat sommige organisaties een register van verwerkingsactiviteiten, ofwel verwerkingsregister, moeten bijhouden met betrekking tot de persoonsgegevens die ze verwerken. Wat moet er in het register staan? Wie moet het register bijhouden en hoe moet het register worden bijgehouden?

Verwerker of verwerkingsverantwoordelijke?

Allereerst is het zinvol om na te gaan of u de verwerkingsverantwoordelijke of verwerker van de persoonsgegevens bent.

Een verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking van persoonsgegevens vast. Dit kan bijvoorbeeld een zorginstelling zijn die persoonsgegevens van patiënten verzamelt.

De verwerker is de organisatie die de persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke. Een voorbeeld van een verwerker is de aanbieder van gegevensopslag in de cloud, die persoonsgegevens opslaat voor een bedrijf of een zorginstelling.

Het begrip verwerken is veelomvattend en betekent onder meer het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens.

Wie moet er een verwerkingsregister bijhouden?

Als uw organisatie persoonsgegevens verwerkt, dan moet uw organisatie in bepaalde gevallen een verwerkingsregister bijhouden.

• Uw organisatie bestaat uit meer dan 250 werknemers: u moet een verwerkingsregister bijhouden;

• Uw organisatie bestaat uit minder dan 250 werknemers: u bent in beginsel niet verplicht om een verwerkingsregister bij te houden.

In een aantal situaties dient uw organisatie tóch een verwerkingsregister bij te houden, ook al heeft u minder dan 250 werknemers. Dit moet als:

• De verwerking een risico meebrengt voor de rechten van betrokkenen;

• De verwerking niet incidenteel is. Bijvoorbeeld als u een database van uw klanten heeft of een administratie over uw personeel voert;

• Uw organisatie bijzondere persoonsgegevens verwerkt. Bijvoorbeeld gegevens over iemand zijn gezondheid;

• Uw organisatie persoonsgegevens verwerkt in verband met strafrechtelijke feiten of veroordelingen.

Het kan heel zinvol zijn om toch een verwerkingsregister bij te houden, ook al bent u op grond van de AVG niet verplicht om dat te doen. Als betrokkenen hun privacyrechten uitoefenen, kunt u in dat geval vrij eenvoudig en tijdig aan verzoeken van betrokkenen voldoen. U kunt de betrokkenen bijvoorbeeld inzage geven in de persoonsgegevens die op hen betrekking hebben. Een ander voordeel is dat u dan precies weet welke gegevensverwerkingen plaatsvinden in uw organisatie, zodat u ook persoonsgegevens verwijderen als deze niet meer noodzakelijk zijn (dataminimalisatie).

Wat moet er in het verwerkingsregister worden bijgehouden?

De AVG bevat een overzicht van de gegevens die u in een verwerkingsregister moet bijhouden. Indien u bijvoorbeeld verplicht bent om een Functionaris voor de Gegevensbescherming aan te stellen, dient u dit te vermelden in het verwerkingsregister.

Hoe moet het verwerkingsregister bijgehouden worden?

Het verwerkingsregister mag zowel in schriftelijke als elektronische vorm worden bijgehouden. Wij adviseren om het in ieder geval in elektronisch vorm bij te houden, zodat u eenvoudig wijzigingen in de verwerkingen van persoonsgegevens kunt doorvoeren. Op die manier kunt u efficiënt omgaan met veranderingen en kunt u bovendien een juist verwerkingsregister tonen, indien de Autoriteit Persoonsgegevens om inzage vraagt.

Twijfelt u over welke gegevens u moet bijhouden in het verwerkingsregister of heeft u algemene vragen over het verwerkingsregister? Neemt u dan contact op met Mart Dijkstra en Hillie Lunter.