Wat moet er in een verwerkingsregister komen te staan?

Vorige week schreef ik al over het verwerkingsregister (of verwerkersregister) en wanneer je verplicht bent dit register op te stellen. Wanneer je verplicht bent daartoe (wat in de meeste gevallen dus zo zal zijn!) dan moet je dit register ook daadwerkelijk kunnen laten zien aan de de Autoriteit Persoonsgegevens (AP) wanneer zij dit aan jou vragen. Kun je dat niet, dan liggen hoge boete’s op de loer…

Maar wat moet er nu in zo’n register staan?

In principe bevat een verwerkingsregister informatie over de persoonsgegevens die je verwerkt en mag je zelf weten hoe je het opstelt. Maar… de AVG schrijft dan weer wel voor welke informatie jij als verwerkingsverantwoordelijke of verwerker je erin moet zetten.

In deze blog ga ik uit van de situatie dat je met jouw organisatie verwerkingsverantwoordelijke bent omdat je zelf het doel en de middelen voor de verwerking van de persoonsgegevens vaststelt.

Je moet dan de volgende informatie in het register opnemen:

  • Naam en contactgegevens van je organisatie of de vertegenwoordiger van je organisatie en eventuele andere organisaties waarmee je gezamenlijk de doel en middelen van de persoonsgegevensverwerking vaststelt. Ook noteer je de functionaris gegevensbescherming als je die hebt aangesteld en eventuele internationale organisatie waarmee je persoonsgegevens deelt (let op: ook opslaan door servers valt hieronder!). Ook dien je aan te geven wanneer deze organisatie buiten de EU is gevestigd.
  • De doelen waarvoor je de persoonsgegevens verwerkt (dus: gebruikt). Tip: vermeld ook de grondslag waarop de verwerking is gebaseerd, zodat je volledig aan je verantwoordingsplicht kan voldoen.
  • Een beschrijving van de categorieën van personen van wie je de persoonsgegevens verwerkt. Heb je bijv. alleen maar klanten of ook andere personen waarover je persoonsgegevens verwerkt?
  • Een beschrijving van de persoonsgegevens die je gebruikt van die personen.
  • Hoelang je de persoonsgegevens bewaart en daarna verwijdert of anonimiseert.
  • De ontvangers aan wie je persoonsgegevens verstrekt.
  • Ten slotte beschrijf je welke technische en organisatorische maatregelen je hebt genomen om de persoonsgegevens te beveiligen.

Wil je meer weten of heb je een andere juridische vraag? Neem gerust eens een kijkje op mijn website www.ge-mek.nl of neem contact met me op via tel. 0622037358 of gwenny@ge-mek.nl.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.