Verwerkingsregister
[ verwerkingsregister.com ]
Verwerkingsregister (artikel 30 AVG)
Volgens artikel 30 van de AVG is (bijna) elke organisatie verplicht haar verwerkingsactiviteiten bij te houden in een register. Daarom wordt dit register van verwerkingsen ook wel artikel 30-register genoemd. De verwerkingsactiviteiten omvatten zowel de eigenlijke bedrijfsprocessen (zoals de bezoekersregistratie of de salarisadministratie) als de systemen die binnen die processen worden gebruikt. Bij het opstellen van het verwerkingsregister is de eerste stap dan ook het inventariseren van processen en applicaties.Het bijhouden van het register valt onder de verantwoordingsplicht, de 'privacyboekhouding' van een organisatie.
Wanneer is een verwerkingsregister verplicht?
-
Als een organisatie 250 (of meer) personen in dienst heeft, moet zij altijd een register bijhouden.
-
Als een organisatie minder dan 250 personen in dienst heeft, moet zij een register bijhouden als aan minstens één van de volgende voorwaarden is voldaan:
- De verwerking van persoonsgegevens is niet incidenteel. Een niet-incidentele (ofwel structurele) verwerking is bijvoorbeeld het bijhouden van een klantenadministratie of salarisadministratie.
- Er worden persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de betrokkenen.
- Er worden persoonsgegevens verwerkt die vallen onder de categorie bijzondere persoonsgegevens of de categorie persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.
Wat moet een verwerkingsregister bevatten?
In het register moeten worden opgenomen:- Naam en contactgegevens van de organisatie en, indien van toepassing, de functionaris gegevensbescherming (FG).
- Beschrijving van de categorieën van persoonsgegevens.
- Doeleinden van de verwerking (zoals "beveiliging van bedrijfsgoederen").
- Omschrijving van de categorieën van betrokkenen ("werknemers", "klanten").
- Omschrijving van de categorieën van ontvangers aan wie de gegevens worden verstrekt, waaronder ontvangers in landen buiten de EU ("luchtvaartmaatschappijen", "middelbare scholen").
- Bij doorgifte naar landen buiten de EU, vermelding van die landen; bij een 'incidentele doorgifte' vermelding van de passende waarborgen.
- Bewaartermijnen voor de verschillende categorieën van persoonsgegevens.
- Beschrijving van de beveiligingsmaatregelen.
Een verwerker is een organisatie die namens een andere organisatie (de "klant") gegevens verwerkt. Een verwerker hoeft minder gegevens in het verwerkingsregister op te nemen:
- Naam en contactgegevens van de verwerker, van de FG (indien van toepassing) en van de klanten namens wie de gegevens worden verwerkt.
- De categorieën van verwerkingen, per klant.
- Bij doorgifte naar ontvangers in landen buiten de EU, vermelding van die landen; bij een 'incidentele doorgifte' vermelding van de passende waarborgen.
- Beschrijving van de beveiligingsmaatregelen.
Hulpmiddelen voor registratie
In de AVG wordt niet voorgeschreven op welke manier de verwerkingen geregistreerd moeten worden. Organisaties zijn vrij in hun keuze daarin. In grote lijnen zijn er twee manieren om een register op te zetten: eenvoudig met behulp van een spreadsheet of tekstbestand, of met een speciale applicatie. Hieronder lichten we beide vormen toe. Welk hulpmiddel ook gebruikt wordt: kennis van de AVG is vereist om het register op een juiste manier, in overeenstemming met de wet, op te zetten en te vullen.Het verwerkingsregister moet op elk moment een actueel en compleet inzicht bieden in alle verwerkingen. De toezichthouder, voor Nederland de Autoriteit Persoonsgegevens, kan op elk moment inzage vragen in het register.
Verwerkingsregister via spreadsheet of tekstbestand (bijv. Excel, Word)
Sommige (branch)organisaties leveren hiervoor een template. Die kunnen direct worden gebruikt of als basis dienen voor een eigen template.Hieronder staan enkele templates als voorbeeld:
- Gegevensbeschermingsautoriteit GBA: de Belgische toezichthouder
- CNIL: de Franse toezichthouder
- VNG: vooringevuld register gemeenten
- Kennisnet: register verwerkingsactiviteiten
- Nederlandse orde van advocaten: register verwerkingsactiviteiten
- Kamer van Koophandel
Gespecialiseerde programma's voor verwerkingen
Gespecialiseerde software heeft natuurlijk meer mogelijkheden dan een spreadsheet of tekstbestand. Sommige verwerkingsprogramma's zijn onderdeel van privacy compliance software. Zo'n set met programma's (toolbox) biedt naast een verwerkingsregister ook hulp bij het opstellen en vastleggen van (D)PIA’s met bijbehorende workflows, en het eveneens verplichte datalekregister. Ook het registreren van toestemming of het verwerken van verzoeken van betrokkenen (bijvoorbeeld inzage- of correctieverzoeken) kan onderdeel uitmaken van de toolbox.De mogelijkheden per programma verschillen aanzienlijk, evenals de kosten en het gebruiksgemak. Sommige tools zijn na aanschaf direct klaar om gebruikt te worden, andere vragen vanwege de grote flexibiliteit om een uitgebreide implementatie en configuratie. Er kunnen goede redenen zijn om te kiezen voor een applicatie waarbij de (gevoelige!) gegevens binnen de EU of in Nederland worden opgeslagen. Wanneer ook het datalekregister uit de toolbox gebruikt wordt, zullen de toegepaste beveiligingsmaatregelen van de leverancier een grote rol spelen.
Laat je goed voorlichten vóór aanschaf van de tool: er moet uitgebreid worden stilgestaan bij eisen, wensen en budget om deze zo goed mogelijk op elkaar af te stemmen.
Leveranciers van privacy compliance tools
Onderstaande avg tools bevatten een verwerkingsregister:- DPOrganizer
- PrivacyTeam
- Kader Digital (vh Smile)
- OneTrust
- PrivacyBlox
- PrivacyPerfect
- Privacy Nexus
- Privacy Valley
- Solvinx (USoft)
- Trustarc (vh Nymity)
Voorbeelden van verwerkingen met bewaartermijnen
Er bestaat een wettelijke regeling (Vrijstellingsbesluit Wbp) die een overzicht biedt van veelvoorkomende processen of verwerkingen, inclusief bewaartermijnen. Feitelijk is deze regeling met de inwerkingtreding van de AVG komen te vervallen, maar zij wordt nog steeds veelvuldig geraadpleegd door organisaties bij het inrichten van hun verwerkingsregister en het vaststellen van bewaartermijnen.Checklist voor het invullen
We hebben een eenvoudig overzicht gemaakt als hulpmiddel bij het invullen van een verwerkingsregister. De checklist geeft in hoofdlijnen aan wat de verwerkingsregisters voor verwerkingsverantwoordelijken of verwerkers moeten bevatten, gebaseerd op artikel 30 van de AVG.Download de checklist verwerkingsregister van ons zusterbedrijf Quodata Privacy Services.