Cogens

Facebook

LinkedIn

Copyright 2018 Cogens.
All Rights Reserved. | Design www.fuzzd.nl
 

Het verwerkingsregister

COGENS Advocaten > Nieuws  > Het verwerkingsregister

Het verwerkingsregister

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) zijn organisaties verplicht om een register van verwerkingen, ook wel ‘verwerkingsregister’ genoemd, bij te houden. In het 3e deel van deze korte serie wordt uitgelegd waarom het verwerkingsregister is ingevoerd en onder welke voorwaarden organisaties zo’n register moeten bijhouden. En… deze verplichting geldt voor nagenoeg iedere organisatie. Er zal ook bij stil worden gestaan welke gegevens in het register moeten worden opgenomen.

Wat is een verwerkingsregister en waarom moet ik dit bijhouden?

In dit register dienen alle verwerkingen van persoonsgegevens die u in uw organisatie verricht, formeel te worden vastgelegd. Het register kan heel eenvoudig worden bijgehouden in een Excel-bestand, maar kan ook middels speciale software worden aangeschaft en bijgewerkt. Het doel van deze maatregel is u te dwingen om na te denken over wat u doet met persoonsgegevens en waarom. Het register is een overzicht van al deze handelingen en de redenen waarom u over de betreffende persoonsgegevens beschikt. Daarnaast dient dit register ook als bewijs voor de Autoriteit Persoonsgegevens dat u uw zaken op orde hebt. De Autoriteit Persoonsgegevens mag op ieder moment inzage in het register vorderen. U heeft dus de verplichting om te zorgen dat het register volledig is, maar vooral blijft! Uw organisatie zal immers regelmatig nieuwe en/of veranderde verwerkingen uitvoeren.

Wanneer moet u een verwerkingsregister bijhouden?

Iedereen die structureel persoonsgegevens verwerkt, dient een dergelijk register bij te houden. Een veel voorkomende misvatting is dat enkel de verantwoordelijke een verwerkingsregister dient bij te houden. Echter ook een verwerker dient vast te leggen welke gegevens hij verwerkt en om welke reden. Daarnaast dient u een algemeen register bij te houden, maar ook op dossierniveau een inventarisatie te doen van de persoonsgegevens die u in het specifieke dossier verwerkt en met welke reden en grondslag.

Het MKB (bedrijven met ten hoogste 250 medewerkers) is vrijgesteld van het bijhouden van een verwerkingsregister indien het incidentele verwerkingen van persoonsgegevens betreft. Dit zijn verwerkingen die u niet voor een langere periode of continu uitvoert.

Enkele verwerkingen die u wel moet bijhouden:

  • Personeelsadministratie
  • Pensioenadministratie
  • Sollicitantenbestand
  • Financiële administratie
  • Abonnementenlijst op uw nieuwsbrieven

Enkele verwerkingen die u niet hoeft bij te houden:

  • Inschrijflijst voor bedrijfsuitje
  • Het gebruik van een datumprikker
  • Het bij uitzondering sturen van een WeTransfer bestand

Wat moet er in het verwerkingsregister staan?

In het kort dient het verwerkingsregister de volgende gegevens te bevatten:

  • NAW gegevens van de verantwoordelijke organisatie (niet alleen de naam maar ook de concrete afdeling en de verantwoordelijke manager)
  • De doeleinden van de verwerking, denk bijvoorbeeld aan salarisadministratie, meteen omschrijving van de grondslag
  • De grondslag voor de verwerking, zoals toestemming of een eigen belang, inclusief onderbouwing daarvan. De grondslagen zullen later nog aan bod komen.
  • Een omschrijving van de betrokkenen
  • Een omschrijving van ontvangers van de gegevens, bijvoorbeeld de boekhouder of de politie in geval van strafbare feiten
  • De bewaartermijnen, inclusief motivatie
  • Een beschrijving van de beveiligingsmaatregelen
  • Een inschatting van het risico voor betrokkenen

Indien u een verwerker bent, dient u ook een verwerkingsregister bij te houden, maar lang niet alle bovenstaande punten zijn in dat geval vereist. Daarnaast bent u als verwerker gehouden om per klant een verwerkingsregister bij te houden omdat u mogelijk andere afspraken heeft met uw klanten afzonderlijk.

Grondslagen voor verwerkingen

Zoals eerder in de reeks beloofd, wordt hierbij nader ingegaan op de grondslagen voor het verwerken van persoonsgegevens. In de eerdere delen van deze korte serie is benoemd dat voor de verwerking van persoonsgegevens een grondslag vereist is. Een vergissing die door velen wordt gemaakt, is dat men denkt dat voor de verwerking van persoonsgegevens de expliciete toestemming van de betrokkene vereist is. Dit is echter deels juist. Toestemming van de betrokkene is één van de grondslagen voor de verwerking van persoonsgegevens, maar er bestaan ook nog andere gronden:

  • (Toestemming van de betrokkene)
  • Een overeenkomst met de betrokkene
  • Een wettelijke plicht
  • Een vitaal belang van de betrokkenen (voor zorgverleners)
  • Een overheidstaak (voor overheidsinstellingen en semi-publieke organisaties)
  • Een gerechtvaardigd eigen belang

Van belang is dus dat u voor iedere verwerking een grondslag heeft. Tot slot wil ik u meegeven dat de laatste grondslag, een gerechtvaardigd eigen belang, de moeilijkste grondslag is. U dient in dit geval aan te tonen dat uw eigen belang zwaarder weegt dat de privacy van de betrokkene. Een bekend voorbeeld van een gerechtvaardigd eigen belang is het beveiligen van uw eigen pand. Indien u persoonsgegevens verwerkt op basis van deze grondslag, dient u naast een deugdelijke motivering ook een belangenafweging te maken. Het verdient daarom aanbeveling om bij de verwerking van persoonsgegevens op grond van een gerechtvaardigd eigen belang een specialist te raadplegen.

Dus voor de partijen die nog niet begonnen zijn met de implementatie van de AVG: ermee beginnen is al een stap in de juiste richting!

Heeft u vragen over het verwerkingsregister of wenst u advies bij het opstellen ervan? Aarzel dan niet om contact op te nemen met mr. Britt Robijns 045-2080909 / robijns@cogens.nl