Vrijwel alle organisaties zijn verplicht om een register van de verwerkingsactiviteiten bij te houden. Met andere woorden, organisaties moeten een verwerkingsregister hebben. Wij merken dat organisaties niet altijd een verwerkingsregister hebben, en er ook tegenaan hikken om het register te vullen. In deze blog leggen wij uit wat er in een verwerkingsregister moet komen te staan.

Naam en contactgegevens

Het begin is makkelijk. In het register neem je de bedrijfs- en contactgegevens op. Heeft de organisatie een functionaris voor gegevensbescherming? Dan staan de naam en contactgegevens van die persoon ook in het register.

Verwerkingsdoeleinden, persoonsgegevens en betrokkenen

Het verwerkingsregister is in feite een overzicht van wat er binnen de organisatie gebeurt met persoonsgegevens. Dus voor welke doeleinden persoonsgegevens gebruikt worden. Denk aan het versturen van nieuwsbrieven, plaatsen en afhandelen van een online bestelling, of het afhandelen van garantiekwesties. Ook interne procedures moeten opgenomen worden in het verwerkingsregister. Bijvoorbeeld het werven van sollicitanten, het voeren van een sollicitatiegesprek, of het uitbetalen van de salarissen.

Als in kaart is gebracht waarvoor persoonsgegevens eigenlijk worden gebruikt, is het van belang om aan te geven welke persoonsgegevens dat dan zijn. Veel voorkomende gegevens zijn naam, adres- en contactgegevens maar denk bijvoorbeeld ook aan financiële gegevens of medische gegevens. Het kan een hele lijst zijn.

Natuurlijk moet je ook aangeven aan wie de persoonsgegevens toebehoren, de zogenaamde betrokkenen. Sollicitanten, medewerkers, klanten, leveranciers, dat zijn allerlei voorbeelden van betrokkenen.

Ontvangers en derde landen

Het verwerken van persoonsgegevens gebeurt niet door één organisatie. Meestal komt daar nog een andere partij bij kijken. In het verwerkingsregister benoem je aan welke categorieën van ontvangers de persoonsgegevens worden doorgegeven. Dat zijn veelal de verwerkers, zoals softwarebedrijven, hostingpartijen, maar ook organisaties zoals het UWV, de Arbodienst en Belastingdienst.

Is een organisatie waaraan persoonsgegevens worden doorgegeven gevestigd buiten de Europese Economische Ruimte? Dan moet in het verwerkingsregister worden aangegeven om welk land het gaat en welke passende waarborgen daarvoor zijn getroffen. Persoonsgegevens doorgeven aan derde landen is namelijk niet zomaar toegestaan.

Bewaartermijnen

Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk. Het is dan ook van belang dat er bewaartermijnen worden gehanteerd. De verschillende termijnen staan eveneens in het verwerkingsregister. Zo is in één oogopslag duidelijk hoelang gegevens bewaard blijven. Natuurlijk is het wel zaak om daar ook naar te handelen en gegevens dus te verwijderen zodra de bewaartermijn verstreken is.

Beveiligingsmaatregelen

Organisaties moeten passende technische en organisatorische maatregelen nemen. Een hele mond vol, maar het komt erop neer dat de beveiliging op orde moet zijn. Denk aan het gebruiken van inloggegevens, of misschien zelfs twee-factor-authenticatie. Andere voorbeelden van beveiligingsmaatregelen zijn clean desk policy, autorisatiebeleid, en een beveiligde internetverbinding. Vermeld in het register welke beveiligingsmaatregelen er zijn getroffen. Het is ook mogelijk om te verwijzen naar het informatiebeveiligingsbeleid.

Aanvullende informatie

Het staat organisaties vrij om meer informatie in het verwerkingsregister op te nemen dan wettelijk verplicht is. Denk aan de wettelijke grondslag op basis waarvan persoonsgegevens worden verwerkt. Gek genoeg is het niet verplicht om die op te nemen in het register, maar wij raden het wel aan om te doen.

Zoals hierboven ook is aangegeven dient in het register opgenomen te worden wat de “categorie ontvangers” is. Bijvoorbeeld een IT-dienstverlener. Om inzichtelijk te maken welke IT-dienstverlener dat dan is, kunnen organisaties er ook voor kiezen om de daadwerkelijke naam van de IT-dienstverlener (Google, Microsoft etc.) op te nemen. En daarnaast kan aangegeven worden of er wel een verwerkersovereenkomst is gesloten met de desbetreffende partij. Indien er geen verwerkersovereenkomst is gesloten, dan is dat gelijk een aandachtspunt en is het van belang om die overeenkomst alsnog te sluiten.

In het Privacy Verified portaal kunnen organisaties een verwerkingsregister bijhouden. Voor meer informatie of hulp om het verwerkingsregister te vullen, kan er contact worden opgenomen met een van onze juristen.