Aandachtspunten AVG: het verwerkingsregister
Waarschijnlijk heeft u het in de wandelgangen al wel gehoord of bent u er zelf al een tijdje actief mee bezig: de nieuwe privacywet. Op 25 mei treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De komende weken delen we u een aantal aandachtspunten waar iedere ondernemer goed naar moet kijken.
Verwerkt u als ondernemer persoonsgegevens? Dan bent u een van de velen die te maken krijgt met de nieuwe wet. Onder verwerken wordt verstaan het opslaan en gebruiken van de gegevens. Hier gaat het niet alleen om gegevens van klanten en leden, maar ook om die van medewerkers, partners en opdrachtgevers.
Verwerkingsregister
Een van de nieuwe bijkomstigheden is dat u voortaan als ondernemer actief moet kunnen aantonen dat u zich aan de privacywet houdt. Als bedrijf moet u zo min mogelijk data verwerken en alleen opslaan wat belangrijk is. Daarnaast bent u verplicht klanten of leden te wijzen op recht van inzage van gegevens en verwijdering hiervan. Het aantonen van het houden aan de privacywet gebeurt door alles te documenteren in een verwerkingsregister. In dit register legt u vast welke data u verzamelt, welk doel hieraan verbonden is en voor hoelang u deze data verzamelt of houdt. Het Autoriteit Persoonsgegevens gebruikt het verwerkingsregister om na te gaan of u uw zaken rondom privacy op orde heeft.
Verantwoordelijke & verwerkers
Voor het bijhouden van een verwerkingsregister heeft u zowel een verantwoordelijke nodig als verwerkers. Dit zijn, door de verantwoordelijke ingeschakelde, hulppersonen. Ook zij moeten een register bijhouden. De verantwoordelijke is de partij die bepaalt welke persoonsgegevens worden verwerkt, voor welk doel en met welke middelen.
Inhoud van het verwerkingsregister
Per verwerkingsactiviteit moet de verantwoordelijke de volgende gegevens registreren:
- De naam en contactgegevens van de verantwoordelijke, eventuele gezamenlijke verwerkingsverantwoordelijken en de Functionaris Gegevensbescherming (de FG);
- De doeleinden waarvoor de gegevens verwerkt worden;
- De categorieën gegevens, denk hierbij aan NAW-gegevens, contactgegevens en betaalgegevens;
- De categorieën betrokkenen, denk hierbij aan klanten, websitebezoekers en werknemers;
- De categorieën ontvangers, aan wie worden de verzamelde gegevens uitgegeven?
- De (voorgenomen) bewaartermijn van de verkregen gegevens;
- Een beschrijving hoe de gegevens worden beveiligd, bijvoorbeeld door encryptie of een toegangscontrole.
- Indien van toepassing informatie over de verstrekking van persoonsgegevens naar landen buiten de EU.
Een verwerker moet per verwerkingsactiviteit het volgende registreren:
- De naam en contactgegevens van de verwerker(s), verantwoordelijk(en) en de eventuele Functionaris Gegevensbescherming;
- De categorieën verwerkingsactiviteiten;
- Een beschrijving hoe de gegevens worden beveiligd
- Indien van toepassing informatie over de verstrekking van persoonsgegevens naar landen buiten de EU.
Dit verwerkingsregister kan opgevraagd worden door de Autoriteit Persoonsgegevens. U bent dan als bedrijf verplicht inzage te geven.
NB: bovenstaande mag niet geïnterpreteerd worden als juridisch advies. Voor juridisch advies dient u zich te wenden tot een jurist.