Skyline Rotterdam

Verwerkingsregister

Verwerkingsregister : verplichte registratie van verwerkingen


Als onderdeel van de verantwoordingsplicht, de 'privacyboekhouding' van een organisatie, verplicht de AVG elke organisatie haar verwerkingsactiviteiten bij te houden in een register. Deze verwerkingsactiviteiten omvatten zowel de eigenlijke bedrijfsprocessen (zoals salarisadministratie) als de applicaties die binnen deze processen worden gebruikt. De eerste stap bestaat dan ook uit inventariseren van processen en applicaties.

Wat moet een verwerkingsregister bevatten?


Verwerkingsregister In het register moeten de volgende gegevens worden opgenomen:
  • naam en contactgegevens van de organisatie en de FG (indien van toepassing)
  • beschrijving van de soort persoonsgegevens
  • doeleinden van de verwerking (zoals "beveiliging bedrijfsgoederen")
  • omschrijving van de betrokkenen ("klanten", "werknemers")
  • omschrijving van de ontvangers aan wie de gegevens worden verstrekt ("BigBrother Camera Toezicht"); ontvangers in landen buiten de EU moeten afzonderlijk worden vermeld
  • bewaartermijnen voor de verschillende soorten persoonsgegevens
  • beschrijving van de beveiligingsmaatregelen
De wet eist niet dat de grondslag voor elke verwerking (bijvoorbeeld toestemming of wettelijke plicht) in het verwerkingsregister wordt opgenomen. Vaak wordt dit toch gedaan omdat de wet wél eist dat deze grondslag aan de betrokkenen wordt medegedeeld. En een organisatie die zich op een bepaalde grondslag beroept, moet dit ook (kunnen) onderbouwen: bijvoorbeeld toelichten om welke wettelijke plicht het precies gaat. Daarnaast is het een extra controle: als geen van de in de AVG genoemde grondslagen van toepassing is, is de verwerking überhaupt niet toegestaan.

Een verwerker is een organisatie die namens een andere organisatie (de "klant") gegevens verwerkt. Een verwerker hoeft minder gegevens in het register op te nemen:
  • naam en contactgegevens van de verwerker, van de FG (indien van toepassing) en van de klanten namens wie de gegevens worden verwerkt
  • de categorieën van verwerkingen, per klant
  • doorgifte naar ontvangers in landen buiten de EU
  • beschrijving van de beveiligingsmaatregelen

Verwerkingsregister - tools of hulpmiddelen voor registratie


De wet (AVG) schrijft niet voor op welke manier de verwerkingen geregistreerd moeten worden. Organisaties kunnen daarin hun eigen keuze maken. Globaal zijn er twee manieren om een register op te zetten: eenvoudig met behulp van een spreadsheet of tekstdocument, dan wel met een speciale applicatie. We lichten beide vormen hieronder toe. Overigens geldt voor alle hulpmiddelen dat kennis van de AVG vereist is om het register op de juiste manier, in overeenstemming met de wet, in te richten en te vullen.

Verwerkingsregister via spreadsheet of tekstdocument (Excel, Word)


Compliance programma's Diverse organisaties leveren hiervoor een template, de ene wat uitgebreider dan de andere. Deze kunnen direct worden gebruikt of als basis dienen voor een eigen template.
Zie hieronder als voorbeeld templates van enkele organisaties:

Verwerkingsregister als onderdeel van Privacy compliance software


Geavanceerde software heeft uiteraard meer mogelijkheden dan een spreadsheet of tekstbestand. Sommige applicaties zijn niet alleen geschikt als verwerkingsregister, maar bieden ook hulp bij het opstellen en vastleggen van (D)PIA’s met bijbehorende workflows, het aanleggen van het eveneens verplichte datalekregister, het verwerken van verzoeken tot inzage en verwijdering van gegevens en het registreren van toestemming van betrokkenen.

De mogelijkheden per tool verschillen aanzienlijk, evenals de kosten en het gebruiksgemak. Sommige zijn na aanschaf direct klaar om ingevuld te worden, andere vergen vanwege de grote flexibiliteit een uitgebreide implementatie en configuratie. Daarnaast kunnen er goede redenen zijn om te kiezen voor een oplossing waarbij de (gevoelige!) gegevens binnen de EU of in Nederland worden opgeslagen. Wanneer de tooling ook als datalekregister gebruikt wordt, zullen de door de leverancier toegepaste beveiligingsmaatregelen een grote rol spelen.
Kortom: vóór aanschaf van de tooling moet uitgebreid worden stilgestaan bij eisen, wensen en budget om deze zo goed mogelijk op elkaar af te stemmen. Goede voorlichting is hier geboden!

Leveranciers van privacy compliance tools


Wonderful compliance tools

Checklist verwerkingsregister


We hebben een eenvoudig overzicht voor u gemaakt als hulpmiddel bij het invullen van een verwerkingsregister. De checklist geeft op hoofdpunten aan wat de verwerkingsregisters voor verwerkingsverantwoordelijken respectievelijk verwerkers moeten bevatten, gebaseerd op artikel 30 van de AVG.

Download onze checklist verwerkingsregister
Vragen over het verwerkingsregister? Of wilt u hulp bij het invullen van uw compliance tool?
Neem contact met mij op:
Annemarie Vervoordeldonk
Privacy consultant LLM, CIPP/E, CIPM
Annemarie Vervoordeldonk : privacyjurist & FG/DPO