Waarom ook jij verplicht een verwerkingsregister bij moet houden.

Als je persoonsgegevens verwerkt, moet je je houden aan de regels uit de Algemene Verordening Gegevensbescherming (AVG). Iedere ondernemer die persoonsgegevens verwerkt, heeft naast de informatieplicht (privacyverklaring) ook een verantwoordingsplicht. De AVG noemt een aantal maatregelen om aan deze verantwoordingsplicht te voldoen. Een deel van deze maatregelen is verplicht. In deze blog ga ik nader in op de verantwoordingsplicht en lees je waarom ook jij verplicht een verwerkingsregister bij moet houden.

Verantwoordingsplicht

Persoonsgegevens: ze worden door vrijwel iedere ondernemer verwerkt. Daarom is ook vrijwel iedere ondernemer verplicht om te voldoen aan de regels uit de AVG. De AVG bevat voor iedere ondernemer, die persoonsgegevens, verwerkt een informatieplicht. Deze informatieplicht houdt in dat jij informatie moet geven over hoe jij met persoonsgegevens om gaat. De makkelijkste manier om hier aan te voldoen is door het opstellen van een privacyverklaring.

Naast de informatieplicht bevat de AVG een verantwoordingsplicht. De AVG bepaalt dat het jouw verantwoordelijkheid is om aan te kunnen tonen dat je voldoet aan de privacyregels die in de AVG zijn opgenomen. Je zult na moeten denken over welke persoonsgegevens je verwerkt, hoe je dit doet en hoe je deze gegevens beschermt.

Verplichte maatregelen

Om je een handje te helpen bij deze verantwoordingsplicht, zijn er in de AVG een aantal verplichte maatregelen opgenomen. Deze verplichte maatregelen moet jij nemen om aan je verantwoordingsplicht te voldoen. Eén van die verplichte maatregelen is het bijhouden van een verwerkingsregister. Deze verplichting geldt sowieso voor bedrijven met meer dan 250 werknemers. Heb je minder dan 250 werknemers, dan ben je ook verplicht een verwerkingsregister bij te houden als:

• Je niet incidenteel persoonsgegevens verwerkt;
• De persoonsgegevens die je verwerkt een hoog risico inhouden voor de rechten en vrijheden personen;
• Je bijzondere persoonsgegevens verwerkt zoals gegevens over iemands gezondheid, politieke voorkeur, ras of strafrechtelijke gegevens.

Geloof me, er zijn maar weinig bedrijven die incidenteel persoonsgegevens verwerken. Je verwerkt namelijk al persoonsgegevens als je:

• mailcontact hebt;
• een offerte maakt;
• een nieuwsbrief verstuurt;
• een factuur maakt;
• iemand het online contactformulier op je website invult.

Dit is dan ook de reden dat ook jij verplicht een verwerkingsregister bij moet houden.

Het verwerkingsregister

Nu je weet dat het bijhouden van een verwerkingsregister verplicht is, is het ook handig als je weet wat er in het verwerkingsregister moet staan.

In het verwerkingsregister neem je informatie op over de persoonsgegevens die je verwerkt. De AVG schrijft geen verplichte vorm voor dus je mag zelf weten hoe je het verwerkingsregister opstelt.

“Om het jou makkelijk te maken, heb ik een template gemaakt waarmee je in Excel een verwerkingsregister bij kunt houden.“

In het verwerkingsregister leg je uit waarom je persoonsgegevens verwerkt, ook wel de doeleinden genoemd. Voorbeelden zijn: voor het verzenden van een nieuwsbrief, voor het maken van een offerte, voor het afhandelen van de betaling. Je geeft aan van wat voor soort mensen je persoonsgegevens verwerkt, bijvoorbeeld klanten, leveranciers of patiënten. Vervolgens leg je uit wat voor soort persoonsgegevens je verwerkt, bijvoorbeeld naam, adres, BSN, e-mailadres, IP-adres, pasfoto. Ook moet je uiteen zetten:

• hoelang je de gegevens bewaart;
• met wie je de persoonsgegevens deelt (let op dit zijn meer organisaties dan je wellicht zult denken);
• of je de gegevens deelt met organisaties buiten de EU.

Tot slot beschrijf je hoe je de persoonsgegevens beveiligt. Dit kan bijvoorbeeld door een versleutelde internetverbinding (SSL) of door het gebruik van sterke wachtwoorden.

Controle door Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) ziet toe op de naleving van de privacywet. Wanneer zij hierom vragen, ben je verplicht je verwerkingsregister aan de AP te tonen. Dat is namelijk onderdeel van je verantwoordingsplicht. Voldoe je niet aan je verantwoordingsplicht dan overtreedt je de privacywet. De AP heeft in dat geval het recht je een boete op te leggen.

Hulp nodig?

Wil je meer weten, heb je een vraag, wil je dat ik met je meekijk naar jouw verwerkingsregister of wil je gebruik maken van mijn Excel-template?
Neem dan contact met me op, ik help je graag!