In ons stappenplan (klik hier) zag u dat een organisatie begint met het in kaart brengen van alle verwerkingen van persoonsgegevens. Uw organisatie dient aan te kunnen tonen dat zij weet op welke wijze persoonsgegevens worden verwerkt. En met die informatie kan u bijvoorbeeld beleid opstellen, een adequate beveiliging uitwerken etc. Ook dient u betrokkenen over de inhoud van deze verwerkingen te melden, bijvoorbeeld in een privacyverklaring (Klik hier voor onze privacyverklaring). De verwerkingen van uw organisatie vormen de blauwdruk en het vertrekpunt voor een dergelijke privacyverklaring. Op de (verdere) inhoud van uw privacyverklaring komen wij in een later bericht terug.
Verplicht?
Een verwerkingsregister is niet in alle gevallen verplicht. Toch kan het opstellen – en bijhouden daarvan – in de meeste gevallen nuttig zijn ten behoeve van het uitrollen van de AVG binnen uw organisatie (ook zonder verplichting daartoe). Voor bijvoorbeeld het benodigde overzicht welke maatregelen nodig zijn en waar de aandachtspunten in uw organisatie liggen. Het in kaart brengen van de verwerkingen geschiedt daarom liefst via het opstellen en bijhouden van een verwerkingsregister.
U bent verplicht een verwerkingsregister op te stellen als uw organisatie bestaat uit 250 of meer werknemers of (ook bij minder dan 250 werknemers) bij risicovolle verwerkingen (bijvoorbeeld klantprofielen, grote hoeveelheden gegevens etc.), wanneer niet incidenteel persoonsgegevens verwerkt worden, of bij het verwerken van gevoelige gegevens. De meeste organisaties zullen op deze uitzondering geen beroep kunnen doen.
Inhoud register
In het register houdt u zowel bij welke gegevens uw organisatie verwerkt, als welke gegevens door verwerkers – dus in uw opdracht – worden verwerkt.
Denkt u voor het register voorts aan;
- de vermelding van uw contactgegevens (/ van de verantwoordelijke) en van een eventuele functionaris voor gegevensbescherming;
- de doeleinden en grondslagen van verwerking;
- de benoeming van de betreffende persoonsgegevens (zoals NAW, foto’s e.d.), de betrokkenen (bijvoorbeeld: cliënten, bezoekers, werknemers);
- de ontvangers van persoonsgegevens (verkoop aan derden bijvoorbeeld);
- eventuele doorgifte van gegevens naar landen buiten de EU;
- bewaartermijnen en;
- de methoden van beveiliging.
Voorbeeld
Uit een verwerkingsregister kan - bij wijze van voorbeeld - volgen dat u een kopie van het identiteitsbewijs van een werknemer bewaart op grond van artikel 6 lid 1 sub c AVG (voldoen aan een wettelijke verplichting), gezien uw verplichtingen uit hoofde van art. 28 sub f Wet op de Loonbelasting, welke kopie wordt bewaard voor vijf jaren na einde van het kalenderjaar waarin de dienstbetrekking is geëindigd gezien artikel 7.5 Uitvoeringsregeling Loonbelasting 2011. Voorts vermeldt u dat een dergelijke kopie kan worden ingezien door de fiscus en daarop tevens bijzondere persoonsgegevens aanwezig zijn. Ten slotte meldt u de getroffen beveiligingsmaatregelen. Deze gegevens geeft u uiteraard niet door, in het bijzonder niet naar instanties buiten de EU.
En dat alles ook nog eens in leesbaar en begrijpelijke taal....
Het voorgaande is een kort overzicht van de belangrijkste punten en kan geenszins als volledig worden beschouwd. Het is een indicatie om te controleren of u op de goede weg bent. Hier helpen wij u graag mee verder.
Heeft u vragen over het voorgaande, uw privacy statement, de cookieregelgeving en/of andere vragen over de AVG? Neem dan contact op met Hein Snijders of Simon Velthuizen.
>> Klik hier voor Stap 2 <<