Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze datum komt steeds dichterbij. Onderdeel van de AVG is dat sommige organisaties een register van verwerkingsactiviteiten, ofwel verwerkingsregister, moeten bijhouden met betrekking tot de persoonsgegevens die ze verwerken. Wat moet er in het register staan? Wie moet het register bijhouden en hoe moet het register worden bijgehouden?
Allereerst is het zinvol om na te gaan of u de verwerkingsverantwoordelijke of verwerker van de persoonsgegevens bent.
Een verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking van persoonsgegevens vast. Dit kan bijvoorbeeld een zorginstelling zijn die persoonsgegevens van patiënten verzamelt.
De verwerker is de organisatie die de persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke. Een voorbeeld van een verwerker is de aanbieder van gegevensopslag in de cloud, die persoonsgegevens opslaat voor een bedrijf of een zorginstelling.
Het begrip verwerken is veelomvattend en betekent onder meer het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens.
Als uw organisatie persoonsgegevens verwerkt, dan moet uw organisatie in bepaalde gevallen een verwerkingsregister bijhouden.
In een aantal situaties dient uw organisatie tóch een verwerkingsregister bij te houden, ook al heeft u minder dan 250 werknemers. Dit moet als:
Het kan heel zinvol zijn om toch een verwerkingsregister bij te houden, ook al bent u op grond van de AVG niet verplicht om dat te doen. Als betrokkenen hun privacyrechten uitoefenen, kunt u in dat geval vrij eenvoudig en tijdig aan verzoeken van betrokkenen voldoen. U kunt de betrokkenen bijvoorbeeld inzage geven in de persoonsgegevens die op hen betrekking hebben. Een ander voordeel is dat u dan precies weet welke gegevensverwerkingen plaatsvinden in uw organisatie, zodat u ook persoonsgegevens verwijderen als deze niet meer noodzakelijk zijn (dataminimalisatie).
De AVG bevat een overzicht van de gegevens die u in een verwerkingsregister moet bijhouden. Indien u bijvoorbeeld verplicht bent om een Functionaris voor de Gegevensbescherming aan te stellen, dient u dit te vermelden in het verwerkingsregister.
Het verwerkingsregister mag zowel in schriftelijke als elektronische vorm worden bijgehouden. Wij adviseren om het in ieder geval in elektronisch vorm bij te houden, zodat u eenvoudig wijzigingen in de verwerkingen van persoonsgegevens kunt doorvoeren. Op die manier kunt u efficiënt omgaan met veranderingen en kunt u bovendien een juist verwerkingsregister tonen, indien de Autoriteit Persoonsgegevens om inzage vraagt.
Twijfelt u over welke gegevens u moet bijhouden in het verwerkingsregister of heeft u algemene vragen over het verwerkingsregister? Neemt u dan contact op met Hillie Lunter.
Hillie Lunter (advocaat sinds 2005) wordt regelmatig benoemd als curator in faillissementen. Zij behaalde de post-academische opleiding Insolventierecht aan de Rijksuniversiteit Groningen en de specialisatieopleiding Vennootschaps – en Ondernemingsrecht bij Grotius. Hillie Lunter is voorzitter van de Raad van Toezicht van de Stichting Maatschappelijke Onderneming Smallingerland (M.O.S.), lid van VNO NCW Noord, waar zij lid is van de Noordgang Drachten Dokkum Oosterwolde. Ook is Hillie lid van Vereniging Privacy Recht.
Hillie Lunter (advocaat sinds 2005) wordt regelmatig benoemd als curator in faillissementen. Zij behaalde de post-academische opleiding Insolventierecht aan de Rijksuniversiteit Groningen en de specialisatieopleiding Vennootschaps – en Ondernemingsrecht bij Grotius. Hillie Lunter is voorzitter van de Raad van Toezicht van de Stichting Maatschappelijke Onderneming Smallingerland (M.O.S.), lid van VNO NCW Noord, waar zij lid is van de Noordgang Drachten Dokkum Oosterwolde. Ook is Hillie lid van Vereniging Privacy Recht.