De zes meest gestelde vragen over het verwerkingsregister

De zes meest gestelde vragen over het verwerkingsregister


De AVG verplicht je al snel om een verwerkingsregister te voeren. Maar hoe doe je dat en hoe onderhoud je dit. Ondanks dat het voeren hiervan in veel gevallen al een tijdje verplicht is, krijg ik er nog steeds veel vragen over. Ik ga in dit artikel in op de zes vragen die mij vaak worden gesteld over het verwerkingsregister. 

Is het nodig voor een MKB bedrijf?

Ik merk dagelijks dat er nog steeds veel vragen zijn over het verwerkingsregister. Soms over de inhoud ervan maar meestal of het toch echt wel nodig is om dit te maken. Is het nodig voor een MKB bedrijf om een dergelijk register te hebben? Ik ben een kleine ondernemer, voor mij is dit toch niet nodig? Ik heb alleen maar personeel- en klantgegevens, hiervoor hoef ik toch geen compleet verwerkingsregister te maken?

Veelgestelde vragen over het verwerkingsregister

In dit artikel ga ik in op een aantal veelgestelde vragen over het verwerkingsregister:

  1. Wat is een verwerkingsregister?
  2. Wanneer moet je een verwerkingsregister maken?
  3. Wat moet je in een verwerkingsregister bijhouden?
  4. Hoe maak je een verwerkingsregister?
  5. Moet je een verwerkingsregister bijhouden?
  6. Zijn er tools om een verwerkingsregister te maken en te onderhouden?

Wat is een verwerkingsregister?

In een verwerkingsregister voer je de registratie van de persoonsgegevens die er binnen je organisatie worden verwerkt. Op grond van de AVG ben je hiertoe al snel verplicht. Dit geldt zowel voor de verwerkingsverantwoordelijke als voor de verwerker.

Wanneer moet je een verwerkingsregister maken?

Heb je meer dan 250 medewerkers in dienst? Dan ben je het op grond van dit aantal verplicht. Geen 250 medewerkers in dienst? Nee, niet stoppen met lezen, nog even doorgaan.  Heb je minder dan 250 medewerkers in dienst? Ook dan ben je meestal verplicht om dit register te voeren. Namelijk in de situatie dat de verwerking van persoonsgegevens niet incidenteel is. Ik hoor je denken, dat is toch bijna altijd. Ja, inderdaad, in de praktijk zijn dergelijke verwerkingen zelden incidenteel.  Daarnaast dien je in elk geval een verwerkingsregister te maken bij risicovolle verwerkingen en bij het verwerken van bijzondere gegevens. Deze plicht geldt zowel voor verwerkingsverantwoordelijke als voor verwerkers. 

Wat moet je in een verwerkingsregister bijhouden?

Als verwerkingsverantwoordelijke dien je de volgende gegevens bij te houden.

1) De naam en contactgegevens van de verwerkingsverantwoordelijke of van degene die de organisatie vertegenwoordigd. 

2) De doeleinden waarvoor je de gegevens verwerkt. De Autoriteit Persoonsgegevens (AP) adviseert om ook direct de grondslag erbij te vermelden. 

3) Een beschrijving van de categorieën van de persoonsgegevens (NAW gegevens, IP-adressen, etc).

4) Een beschrijving van de categorieën van de betrokkenen (klanten, medewerkers, etc).

5) De categorieën ontvangers aan wie er  persoonsgegevens worden verstrekt.

6) De bewaartermijnen van de gegevens; 

7) De melding wanneer er doorgifte van gegevens naar landen buiten de EU plaatsvindt.

8) Een beschrijving van technische- en organisatorische maatregelen die je hebt genomen om de persoonsgegevens te beveiligen (encryptie, beveiligingsprocedures onder het personeel, etc).

Als verwerker dien je, per verwerkingsverantwoordelijke, het volgende vast te leggen in een verwerkingsregister:

1) De naam en contactgegevens van de verwerkingsverantwoordelijke of van degene die de organisatie vertegenwoordigd.

2) Een beschrijving van de categorieën van verwerkingen die je in opdracht van iedere verantwoordelijke uitvoert.

3) De melding wanneer er doorgifte van gegevens naar landen buiten de EU plaatsvindt.

4) Een beschrijving van technische- en organisatorische maatregelen die je hebt genomen om de persoonsgegevens te beveiligen.

Hoe maak je een verwerkingsregister?

Op haar site adviseert de AP om gebruiken te maken van een “overzichtelijk bestand”. Hiermee lijkt te worden aangestuurd op een elektronische vastlegging terwijl art. 30 lid 3 AVG ook spreekt over “schriftelijke vorm”. Je kunt natuurlijk gebruikmaken van een Excel bestandje. Ik geef er zelf de voorkeur aan om hiervoor een AVG compliance tool te gebruiken. Er zijn veel van dergelijke tools beschikbaar. 

Moet je een verwerkingsregister onderhouden?

Wanneer je veel tijd en moeite hebt gestoken in het opstellen van een mooi register is het vervolgens niet de bedoeling om deze weg te stoppen. Net zoals je organisatie verandert, verandert het register met je mee. Ook kunnen veranderende wet- en regelgeving, jurisprudentie en richtsnoeren erin resulteren dat je zaken moet aanpassen. Ook hierbij is zijn de AVG compliance tools erg praktisch.

Zijn er tools om een verwerkingsregister te maken en te onderhouden?

Jazeker! Er zijn diverse tools om een verwerkingsregister te maken en ook te onderhouden. Zoals ik hierboven al aangeef heeft het vaak niet mijn voorkeur om hiervoor een excel bestandje te gebruiken. Deze tools helpen je bij een integrale aanpak van je AVG beleid waarvan het register een belangrijk onderdeel is. Wil je meer weten over deze tools? Stuur gerust een mailtje. Kijk hier voor meer informatie over privacyrecht.