Welke informatie bevat het AVG verwerkingsregister?
Het verwerkingsregister bevat informatie over de persoonsgegevens die een organisatie verwerkt. Dit is een verplichte maatregel onder de Algemene verordening gegevensbescherming (AVG). Deze informatie dient in het verwerkingsregister te worden opgenomen:
- Naam en contactgegevens van de verwerkingsverantwoordelijke en de verwerker
- Categorieën van persoonsgegevens
- Categorieën van betrokkenen
- Doeleinden van de verwerking
- Rechtmatige grondslag van de verwerking
- Categorieën ontvangers
- Overdracht van persoonsgegevens naar een derde land
- Beveiligingsmaatregelen
- Periode van bewaring
- Verwerkingsregister
De informatie in het verwerkingsregister moet actueel en betrouwbaar zijn. De organisatie moet het verwerkingsregister regelmatig controleren en bijwerken als dat nodig is.
Naam en contactgegevens van de verwerkingsverantwoordelijke en de verwerker
In het verwerkingsregister moet de naam en contactgegevens van de verwerkingsverantwoordelijke worden opgenomen. De verwerkingsverantwoordelijke is degene die beslist voor welk doel en op welke manier persoonsgegevens worden verwerkt. In veel gevallen is de verwerkingsverantwoordelijke de organisatie zelf. Als de organisatie persoonsgegevens verwerkt namens een andere organisatie, is deze organisatie de verwerker. De verwerker handelt in opdracht van de verwerkingsverantwoordelijke.
Categorieën van persoonsgegevens
In het verwerkingsregister moeten de categorieën van persoonsgegevens worden opgenomen die de organisatie verwerkt. Persoonsgegevens zijn alle gegevens die kunnen worden herleid tot een individueel persoon. Dit kunnen bijvoorbeeld naam, adres, telefoonnummer, e-mailadres, geboortedatum, bankrekeningnummer en gezondheidsgegevens zijn.
Categorieën van betrokkenen
In het verwerkingsregister moeten de categorieën van betrokkenen worden opgenomen die de organisatie verwerkt. Betrokkenen zijn de personen van wie de persoonsgegevens worden verwerkt. Dit kunnen bijvoorbeeld klanten, medewerkers, leveranciers en websitebezoekers zijn.
Doeleinden van de verwerking
In het verwerkingsregister moeten de doelen van de verwerking worden opgenomen. Dit zijn de redenen waarom de organisatie persoonsgegevens verwerkt. Voorbeelden van doelen van de verwerking zijn:
- Het leveren van een product of dienst
- Het uitvoeren van een contract
- Het voldoen aan een wettelijke verplichting
- Het verbeteren van de dienstverlening
- Het verzenden van marketingberichten
Rechtmatige grondslag van de verwerking
In het verwerkingsregister moet de rechtmatige grondslag van de verwerking worden opgenomen. De rechtmatige grondslag is de reden waarom de organisatie persoonsgegevens mag verwerken. De AVG kent een aantal rechtmatige grondslagen, zoals toestemming van de betrokkene, uitvoering van een contract of een wettelijke verplichting.
Categorieën ontvangers
In het verwerkingsregister moeten de categorieën van ontvangers worden opgenomen aan wie de organisatie persoonsgegevens verstrekt. Dit kunnen bijvoorbeeld andere organisaties, overheidsinstanties of derden zijn.
Overdracht van persoonsgegevens naar een derde land
In het verwerkingsregister moet worden aangegeven of de organisatie persoonsgegevens overdraagt naar een derde land. Een derde land is een land buiten de Europese Economische Ruimte (EER). De overdracht van persoonsgegevens naar een derde land is alleen toegestaan als er passende waarborgen zijn getroffen om de privacy van de betrokkenen te beschermen.
Beveiligingsmaatregelen
In het verwerkingsregister moeten de beveiligingsmaatregelen worden opgenomen die de organisatie heeft getroffen om persoonsgegevens te beschermen. Dit kunnen bijvoorbeeld technische en organisatorische maatregelen zijn, zoals het gebruik van wachtwoorden, versleuteling en toegangscontrole.
Periode van bewaring
In het verwerkingsregister moet worden aangegeven hoe lang de organisatie persoonsgegevens bewaart. De bewaartermijn is afhankelijk van het doel van de verwerking en de wettelijke verplichtingen.
Verwerkingsregister
In het verwerkingsregister moet worden aangegeven hoe het verwerkingsregister is opgesteld en hoe het wordt bijgehouden.
De Autoriteit Persoonsgegevens (AP) heeft een model verwerkingsregister beschikbaar gesteld. Dit model kan worden gebruikt als leidraad bij het opstellen van een verwerkingsregister. (Hier kun je de laatste versie van het model verwerkingsregister van de AP vinden)
Laat je altijd goed informeren of voor jouw organisatie uitzonderingen gelden.