Hoe kun je aantonen dat jij je met je onderneming aan de AVG houdt? Door verschillende documenten bij te houden waar je om gevraagd kan worden bij een controle. Naast je privacyverklaring, de verwerkersovereenkomsten en je datalekkenregistratie, is een verwerkingsregister het bewijs dat je je aan je documentatie- en verantwoordingsplicht houdt.
Verwerkingsregister verplicht
Je bent verplicht een verwerkingsregister van persoonsgegevens bij te houden als één van de volgende situaties op jou van toepassing is (in de praktijk betekent dat bijna alle organisaties!):
– je verwerkt ‘niet-incidenteel’ oftewel regelmatig persoonsgegevens. Denk daarbij aan het verwerken van de gegevens van een nieuwe medewerker, de rittenregistratie en de maandelijkse loonadministratie. Maar ook het verzamelen van gegevens om klanten een offerte toe te kunnen sturen en het verzamelen van mailadressen om een nieuwsbrief te mailen zijn ‘niet-incidentele’ verwerkingen van persoonsgegevens.
– je verwerkt risicovolle en/of of bijzondere persoonsgegevens. Het verwerken van hoog risicovolle persoonsgegevens, zoals strafrechtelijke gegevens, komen in de ondernemerspraktijk bijna niet voor. Bij bijzondere gegevens kun je denken aan gegevens over gezondheid, godsdienst of politieke opvattingen. Maar ook het BSN-nummer valt daaronder, en dat heb je nodig voor de salarisverwerking van je medewerkers.
– je hebt een onderneming met meer dan 250 medewerkers. In dit geval is je verwerkingsregister zeer uitgebreid omdat het alle verwerkingsactiviteiten van persoonsgegevens moet omvatten.
Een verwerkingsregister opzetten
Dit register is niet voor externen, maar voor jezelf bedoeld. Je kunt het bij wijze van spreken in een spread sheet opstellen, maar ook software gebruiken die verschillende aanbieders online voor je klaar hebben staan.
In het register houd je bij welke persoonsgegevens je met welk doel verzamelt en wat je er in de praktijk mee gedaan hebt. Loop om dit overzicht te maken alle processen in je onderneming langs en noteer wanneer je om persoonsgegevens vraagt of ze verwerkt en waar je ze bewaart. Het opstellen ervan dwingt je om goed na te denken over wat je doet, op welke manier en waarom. Je zou het in principe dus als basis voor je privacyverklaring kunnen gebruiken.
De volgende gegevens neem je op in je verwerkingsregister:
- Naam en Contactgegevens van de persoon die verantwoordelijk is voor de verwerking van de contactgegevens. Bij eenmanszaken ben jij dat zelf. Noem ook de naam en de contactgegevens van de Functionaris Gegevensbescherming als je die hebt
- Doelen waarvoor je de gegevens verzamelt en verwerkt, bijvoorbeeld ‘Salarisadministratie’ of ‘Versturen mailing’
- Welke persoonsgegevens van welke groepen betrokkenen je verwerkt; je beschrijft de categorieën van betrokkenen, zoals bijvoorbeeld medewerkers, klanten, prospects of bezoekers en de categorieën van persoonsgegevens, zoals NAW-gegevens, mailadressen, reguliere persoonsgegevens of bijzondere persoonsgegevens
- Ontvangers, met wie je de persoonsgegevens deelt. Denk daarbij aan je boekhouder, maar ook aan andere partijen die jouw persoonsgegevens verwerken
- Derde landen of internationale organisaties, wanneer de persoongegevens doorgegeven aan en opgeslagen worden in derde landen of door internationale organisaties moet je deze apart noemen
- Bewaartermijnen, hoe lang je de gegevens bewaart, inclusief de reden waarom je deze termijn aanhoudt en niet korter
- Beveiligingsmaatregelen, een algemene beschrijving van de technische en organisatorische maatregelen die je hebt genomen
Iedere keer als je persoonsgegevens verwerkt, registreer je dat aan de hand van de hierboven genoemde 7 punten in het register. Houd ook bij wie binnen je onderneming wanneer van welke persoonsgegevens gebruik heeft gemaakt. Het register is allereerst onderdeel van de beveiliging van de gegevens die je bezit. Het is echter ook een handig instrument wanneer mensen van wie je de persoonsgegevens verwerkt, willen weten wie in de praktijk toegang tot hun gegevens heeft gehad.