In een AVG verwerkingsregister ofwel register van verwerkingsactiviteiten moet informatie staan over de persoonsgegevens die u als verwerkingsverantwoordelijke verwerkt of laat verwerken.

Een AVG verwerkingsregister moet minimaal de volgende inhoud hebben

 


  • Verwerkingsdoel

    Doel en de grondslag van de verwerking. Er zijn 6 mogelijke grondslagen:

    toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang.


  • Betrokkenen


    De persoon van wie de onderneming of organisatie persoonsgegevens verwerkt, wordt de betrokkene genoemd. Dat is dus degene over wie de gegevens gaan.


  • Gegevenssoort


    Alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is.


  • Ontvangers


    De ontvanger is een organisatie die persoonsgegevens ontvangt van een verwerkingsverantwoordelijke.


  • Verwerkingsgrondslag

    In de AVG staan de volgende 6 grondslagen voor het verwerken van persoonsgegevens:

    • U heeft toestemming van de persoon om wie het gaat.
    • Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
    • Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
    • Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
    • Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
    • Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.


  • Bewaartermijnen


    In artikel 5.1 van de AVG wordt geen concrete bewaartermijn voor persoonsgegevens genoemd. Wel wordt hier naar een opslagbeperking verwezen. Hierin wordt aangegeven dat een persoonsgegeven alleen bewaard mag worden als identificeerbaar gegeven, voor zolang het nodig is voor de doeleinden waarvoor het verzameld is.

    Als de gegevens geanonimiseerd kunnen worden, mogen de gegevens langer bewaard worden. Het is dan immers niet meer mogelijk een persoon hiermee direct of indirect te identificeren.


  • Databeveiliging


    Ondernemingen en organisaties moeten de  persoonsgegevens die ze verwerken zodanig beveiligen dat datalekken voorkomen worden. Volgens de AVG moeten zij hiervoor ‘passende technische en organisatorische maatregelen’ nemen om de persoonsgegevens te beveiligen.


Of u een verwerkingsregister moet opstellen, hangt af van de omvang van uw onderneming of organisatie en het type gegevens dat u verwerkt. Het opstellen van dit register is onder de AVG en UAVG vaak voor alle verwerkingsverantwoordelijken van ondernemingen en organisaties verplicht.

 

minder dan 250 medewerkers

Als verwerkingsverantwoordelijke moet u een verwerkingsregister opstellen en bij houden als één of meer van deze situaties op u van toepassing zijn:

  • De verwerking van persoonsgegevens is niet incidenteel. Let op: In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers,  van uw klanten, cliënten, bewoners en/of patiënten die u verwerkt.
  • U verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.
  • U verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens. Dit zijn vijvoorbeeld gegevens over gezondheid, godsdienst of politieke voorkeur.

meer dan 250 medewerkers

Als verwerkingsverantwoordelijke bent u op ieder geval verplicht om een verwerkingsregister op te stellen en bij te houden!