Model verwerkingsregister AVG met uitleg en checklist
Model Verwerkingsregister ten behoeven van de Algemene Verordening Gegevensbescherming (AVG) die ingaat per 25 mei 2018. Voor grote en kleine ondernemers uit het mkb.
De AVG en het verwerkingsregister
Per 25 mei a.s. gaat de Europese Algemene Verordening Gegevensbescherming (AVG) in. Deze wet vervangt de huidige Wet bescherming persoonsgegevens (Wbp). Een onderdeel hiervan is de documentatieplicht. Die documentatieplicht maakt inzichtelijk voor personen welke informatie van hen met welke redenen verwerkt wordt door ondernemingen. Een onderdeel van de documentatieplicht is het verwerkingsregister.
Verwerkingsregister verplicht?
De AVG maakt onderscheid tussen bedrijven met meer en minder dan 250 werknemers. Voor ondernemingen met meer dan 250 werknemers is het register zeer uitgebreid: het moet alle activiteiten aangaande de verwerking van persoonsgegevens bevatten. Voor organisaties met minder dan 250 werknemers zijn de regels soepeler.
Minder dan 250 werknemers
Voor een bedrijf met minder dan 250 werknemers is een register met niet-incidentele verwerkingen, hoge risico verwerkingen én verwerkingen van bijzondere gegevens verplicht.
Niet-incidentele verwerkingen. Niet-incidentele verwerkingen zijn structurele verwerkingen: deze verwerkingen komen dus met regelmaat voor. Voorbeelden zijn het verzamelen en vastleggen van gegevens van een nieuwe medewerker; u moet tenslotte het salaris kunnen uitbetalen. Dat doet u structureel en dus niet niet-incidenteel en daarom moet u dit in het register opnemen. Andere voorbeelden zijn het verzamelen van (contact)gegevens om offertes toe te kunnen zenden en het verzamelen van e-mailadressen voor toezending van de nieuwsbrief.
Hoog risico verwerkingen. Naast de niet-incidentele verwerkingen moeten in het register verwerkingen opgenomen worden die een hoog risico inhouden voor de rechten en vrijheden van betrokkenen. Dit zijn vaak uitzonderlijke verwerkingen die in de praktijk weinig voorkomen. Denk aan bijvoorbeeld het verwerken van strafrechtelijke gegevens voor een ander doel dan de wet daaraan koppelt.
Bijzondere gegevens. Tot slot moeten ook verwerkingen van bijzondere persoonsgegevens vermeld worden. Informatie als ras, seksuele geaardheid en geloof zult u niet snel verwerken, maar het BSN-nummer (noodzakelijk voor de salarisverwerking) is ook een bijzonder gegeven.
Wat moet u in het verwerkingsregister opnemen?
Betreft het een bedrijf met minder dan 250 werknemers, dan weet u nu welke soort verwerkingen u moet vastleggen. Nu moet u nog weten wat u van deze verwerkingen vast moet leggen. En om het nog wat ‘makkelijker’ te maken, maakt de wet onderscheid tussen de (verwerkings)verantwoordelijke en de verwerker.
De verwerker. Een verwerker (bijv. een salarisadministratiekantoor) verwerkt in opdracht van de verantwoordelijke (bijv. uw bedrijf) en doet alleen met de gegevens wat de verantwoordelijke hem toestaat.
De verwerkingsverantwoordelijke. De verantwoordelijke is degene die bepaalt wat er met de gegevens gebeurt, welk doel daarbij nagestreefd wordt en welke middelen gebruikt worden om het doel te bereiken.
Dus wat nu te doen? Een samenvatting
Het zal allemaal zo’n grote vaart niet lopen, maar u moet officieel dus wel een verwerkingsregister, een overzicht, maken wie binnen uw organisatie, welke gegevens verwerkt. Dat doet u van gegevens die u structureel verwerkt, van hoge risico gegevens en van bijzondere gegevens.
Tip 1. Begin per afdeling en leg per afdeling vast welke niet incidentele gegevens worden vastgelegd.
Tip 2. Het verwerkingsregister is vormvrij. Dat wil zeggen dat u zelf kunt kiezen in welke vorm u het register aanlegt. Excel is hiervoor heel geschikt, maar het mag ook in Word of in welke andere vorm dan ook. Let op. Wel is van belang dat als de Autoriteit Persoonsgegevens het register in wil zien, dit direct getoond kan worden.
Checklist Verwerkingsregister
De verwerkingsverantwoordelijke neemt in het register op:
□ Naam en contactgegevens van de organisatie.
□ Eventuele contactgegevens van gezamenlijke verwerkingsverantwoordelijken en de gegevens van de eventuele Functionaris Gegevensbescherming (FG).
□ Doeleinden van gegevensverwerking.
□ Een beschrijving van de categorieën van personen/betrokkenen en de categorieën van gegevens die verzameld worden (regulier/bijzonder).
□ Mogelijke categorieën ontvangers van gegevens.
□ Of er sprake is van verstrekking van persoonsgegevens aan een derde land (buiten de EU) of een internationale organisatie.
□ De (voorgenomen) bewaartermijnen.
□ Een algemene beschrijving van de getroffen beveiligingsmaatregelen.
□ …………………………………………………..
De verwerker neemt in het register op:
□ De naam en contactgegevens van de verwerker, verantwoordelijke en de eventuele FG.
□ De categorieën van verwerkingsactiviteiten.
□ Of er sprake is van verstrekking van persoonsgegevens aan een derde land (buiten de EU) of een internationale organisatie.
□ Een algemene beschrijving van de getroffen beveiligingsmaatregelen.
□ …………………………………………………..
Facebook
Twitter
Gplus
Linkedin
