Eén antwoord van de overheid

Verwerkingsregister bijhouden

Deze informatie is geplaatst door

Antwoord voor bedrijven

Verwerkt uw bedrijf persoonsgegevens? Zoals het bewaren, gebruiken of delen van bijvoorbeeld namen, adresgegevens en telefoonnummers? Dan heeft u een verantwoordingsplicht. U moet kunnen laten zien dat u aan de privacywetgeving, de Algemene verordening gegevensbescherming AVG), voldoet. Een verwerkingsregister is mogelijk verplicht voor u. De toezichthouder Autoriteit Persoonsgegevens kan dit controleren.

Hoe houdt u zich aan de AVG?

In de privacywetgeving (AVG) staan een aantal maatregelen waaraan u zich moet houden:

  • Een verwerkingsregister bijhouden
  • Een data protection impact assessment (DPIA) doen bij een hoog privacyrisico
  • Een register bijhouden van datalekken
  • Aantonen dat er toestemming is gegeven voor de verwerking van de persoonsgegevens
  • Onderbouwen waarom u wel/niet een Functionaris voor de gegevensbescherming heeft

Is een verwerkingsregister verplicht?

Of een verwerkingsregister AVG voor u verplicht is, heeft te maken met het soort gegevens dat uw bedrijf verwerkt en hoe groot uw bedrijf is.

Werken er meer dan 250 mensen in uw bedrijf? Dan moet u een verwerkingsregister bijhouden.

Werken er minder dan 250 mensen in uw bedrijf? Dan hoeft u geen verwerkingsregister bij te houden.

Let op: in de volgende situaties moet u ook bij minder dan 250 medewerkers een verwerkingsregister bijhouden:

  • Het verwerken van persoonsgegevens gebeurt vaak.
  • Het verwerken van persoonsgegevens heeft een hoog risico voor de rechten en vrijheden van de betrokken personen.
  • U verwerkt bijzondere persoonsgegevens. (Bijvoorbeeld gegevens over gezondheid, religie, politieke voorkeur of strafrechtelijke gegevens)

Bent u verplicht een verwerkingsregister bij te houden? Dan moet u dit kunnen laten zien als de toezichthouder Autoriteit Persoonsgegevens dat vraagt.

Wat staat er in het verwerkingsregister?

In het verwerkingsregister staat informatie over persoonsgegevens die u verwerkt. U mag zelf weten hoe u het verwerkingsregister opstelt. Volgens de privacywet moet er in ieder geval het volgende in een verwerkingsregister staan:

  • De naam en contactgegevens van uw bedrijf.
  • Eventuele andere organisaties waarmee u bepaalt welke gegevens u verwerkt en hoe.
  • Wie de functionaris voor de gegevensbescherming (FG) is (als u die heeft).
  • Het doel van de gegevensverwerking.
  • Een beschrijving van de personen van wie u gegevens verwerkt.
  • Een beschrijving van de soort gegevens.
  • De datum waarop u de gegevens moet wissen.
  • Met welke organisaties u de persoonsgegevens deelt en of dit organisaties buiten de EU zijn.
  • Een beschrijving van de maatregelen om de persoonsgegevens te beveiligen.

Voorbeeld verwerkingsregister

Er bestaat geen standaard model van een verwerkingsregister. U mag zelf bepalen hoe u het verwerkingsregister opstelt. Volgens de privacywet moeten de bovenstaande punten in ieder geval in een verwerkingsregister staan. Zoekt u een voorbeeld van een verwerkingsregister voor uw bedrijf? Informeer dan bij uw brancherorganisatie.

Verwerker moet ook verwerkingsregister bijhouden

Bent u niet de organisatie die bepaalt waarom en hoe de persoonsgegevens worden gebruikt (de verwerkingsverantwoordelijke)? Maar verwerkt u persoonsgegevens in opdracht van een andere organisatie (de verwerker)? Dan moet u ook een verwerkingsregister bijhoudenExternal link.

Privacyverklaring

Als u persoonsgegevens verwerkt heeft u naast een verantwoordingsplicht ook een informatieplicht. U moet uw klanten laten weten wat u met hun persoonsgegevens doet. Dat kunt u doen met een privacyverklaring.

Deze informatie is geplaatst door

Antwoord voor bedrijven