Inleiding

Vanaf 25 mei 2018 moeten alle organisaties die persoonsgegevens verwerken voldoen aan de Algemene Verordening Gegevensbescherming (AVG / GDPR (EN)). Deze verordening brengt een aantal grote veranderingen met zich mee ten opzichte van de oude Nederlandse Wetgeving. Een van deze veranderingen is het bijhouden van een verwerkingsregister.

Het verwerkingsregister

De AVG geeft aan dat door twee verschillende partijen een register met verwerkingsactiviteiten moet worden bijgehouden. Dit is ten eerste de verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke. Ten tweede moet de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerker een register van alle categorieën verwerkingsactiviteiten bij te houden.

De AVG verplicht dat organisaties (een van) deze registers bijhouden. Maar moet jouw organisatie dit? En voldoen jouw registers aan de voorwaarden van de AVG? In dit factsheet wordt daar antwoord opgegeven. Aan de hand van het eerste schema word je door middel van aantal vragen geholpen met het beantwoorden van de vraag of jouw organisatie een verwerkingsregister bij moet houden. Afhankelijk van de uitkomst van het eerste schema word je verwezen naar het tweede of derde schema. De schema’s die daar zijn opgenomen begeleiden je bij de vraag of jouw register voldoet aan de voorwaarden van de AVG. In de AVG is namelijk opgenomen wat allemaal moet worden vermeld in het verwerkingsregister.

Onderaan deze pagina zijn definities opgenomen zoals die worden gehanteerd in de AVG wetgeving. Aan de hand van deze definities kan je het schema invullen.

Meer informatie?

Raadpleeg dan onze website. Heb je een vraag? Dan kun je altijd contact met ons opnemen via: info@juridischehulponline.nl. Behoefte aan meer factsheets of een document dat je helpt bij het AVG proof worden zoals een Privacy Verklaring of een Verwerkingsregister? Zie dan onze site.

Schema 1


Schema 2


*: dit is alleen vereist wanneer het mogelijk is om deze termijnen op te nemen.
**: dit is alleen vereist wanneer het mogelijk is om een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen op te nemen.

Schema 3


***: dit is alleen vereist indien er sprake is van doorgifte van gegevens aan een derde land en/of een internationale organisatie.
****: dit is alleen vereist indien het mogelijk is om een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen op te nemen.

Definities

Verwerker: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Verwerkingsverantwoordelijke: een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Vertegenwoordiger: een in de Unie gevestigde natuurlijke persoon of rechtspersoon die schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met de verplichtingen krachtens op basis van de AVG.

Bijzondere persoonsgegevens: bijzondere categorieën van gegevens, waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.

Structureel: het moet gaan om verwerkingen die niet incidenteel of eenmalig zijn.

Risicovolle verwerkingen: de verwerking die een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Dit kan bijvoorbeeld zijn het opstellen van klantprofielen of het verwerken van grote hoeveelheden gegevens.

Contactgegevens: naam, straat en huisnummer, postcode, woonplaats, land, rechtsvorm, KVK nummer.

Verwerkingsdoeleinden: het doel van een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Categorieën van betrokkenen: denk hierbij aan: klanten, sollicitanten of werknemers.

Categorieën van persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Als identificeerbaar wordt beschouwd een natuurlijk persoon die direct of indirect kan worden geïdentificeerd. Denk bijvoorbeeld aan een identificator, zoals een naam, een identificatienummer, locatiegegevens, een online identificator, of aan één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Categorieën van ontvangers: denk hierbij aan bepaalde afdelingen, reclamebureaus en (externe) bedrijven.

De technische en organisatorische beveiligingsmaatregelen: het gaat hierbij om te manier hoe jouw organisatie onder andere de persoonsgegevens beveiligd. Dit is bijvoorbeeld het geval bij pseudonimisering.

Categorieën van verwerkingen: een soort verwerking zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Deze pagina downloaden? Klik dan hier!

Aan de tekst in dit document kunnen geen rechten worden ontleend. Dit document dient slecht een informatief doel en gaat slechts over de AVG. De overige verordeningen en uitvoeringswetten zijn niet in dit document opgenomen. Vastgesteld op 21-02-2018.