Door de komst van de Algemene verordening gegevensbescherming (AVG) ben je als ondernemer vaak verplicht een register bij te houden indien je persoonsgegevens verwerkt. Dit register wordt ook wel een verwerkingsregister genoemd omdat je als ondernemer als ‘verwerker’ van persoonsgegevens wordt aangemerkt. In deze blog gaan we in op het verwerkingsregister. Wat is het en waarom moet je zo’n register bijhouden? Ben je als ondernemer verplicht om altijd een verwerkingsregister te hebben of zijn er uitzonderingen? En als je een verwerkingsregister moet hebben, wat moet er dan precies in worden opgenomen? Kortom, genoeg te leren over het verwerkingsregister!

Wat is een verwerkingsregister?

In de AVG zijn regels opgenomen met betrekking tot het rechtmatig verwerken van persoonsgegevens. Een van deze regels stelt dat je als ondernemer in bepaalde gevallen verplicht bent een verwerkingsregister bij te houden. Dit hangt af van de omvang van de onderneming en het soort gegevens wat wordt verwerkt. Een verwerkingsregister bevat namelijk persoonsgegevens. Aan de hand van een verwerkingsregister kunnen ondernemers onder andere aangegeven welke gegevens ze verzamelen, verwerken en voor welke doeleinden persoonsgegevens worden verzameld en verwerkt. Er bestaat geen specifiek verwerkingsregister. Hoe je dit opstelt, mag je zelf bepalen.

Waarom een verwerkingsregister?

Voordat de Algemene verordening gegevensbescherming in het leven werd geroepen, waren ondernemingen verplicht melding te maken aan de Autoriteit Persoonsgegevens (AP) wanneer ze persoonsgegevens verwerkten. Sinds de inwerkingtreding van de AVG, is het niet meer nodig om de Autoriteit Persoonsgegevens hierover te informeren. Dit omdat nu van ondernemingen verwacht wordt dat ze een verwerkingsregister hebben waarin ze de verwerking van persoonsgegevens bijhouden. Wel ben je als onderneming nog steeds verplicht dit register te kunnen tonen wanneer de Autoriteit Persoonsgegevens dit verzoekt.

Wanneer moet je een verwerkingsregister hebben?

Als hoofdregel geldt dat zowel een verwerkingsverantwoordelijke als een verwerker een verwerkingsregister moet bijhouden. Maar er bestaat natuurlijk weer een uitzondering op deze hoofdregel. Namelijk wanneer een onderneming minder dan 250 werknemers heeft, is deze normaliter niet verplicht een verwerkingsregister bij te houden. Maar alsof het nog niet ingewikkeld genoeg is, zijn ook op deze regel weer uitzonderingen. Uitzonderingen die betrekking hebben op het alsnog bijhouden van een verwerkingsregister hoewel er minder dan 250 werknemers zijn. Er moet namelijk alsnog gebruik worden gemaakt van een verwerkingsregister indien:

· Een onderneming regelmatig persoonsgegevens verwerkt;

· Een onderneming bijzondere persoonsgegevens verwerk (bijvoorbeeld medische gegevens);

· Of wanneer een onderneming persoonsgegevens verwerkt waar een (hoog) risico aan verbonden is.

Je zou dus eigenlijk kunnen stellen dat bijna iedere onderneming een verwerkingsregister moet hebben aangezien vrijwel iedere ondernemer persoonsgegevens verwerkt.

Hoe maak je gebruik van een verwerkingsregister?

Zoals je eerder in deze blog hebt kunnen lezen, mag je zelf bepalen hoe je een verwerkingsregister opstelt. Desondanks is er in de AVG opgenomen welke gegevens er in een verwerkingsregister moeten staan. De volgende gegevens moeten in ieder geval terug te vinden zijn in het register:

· De naam en contactgegevens van de onderneming en (als jouw onderneming die heeft) van de functionaris voor gegevensbescherming;

· Het doel van de gegevensverwerking;

· Een beschrijving van zowel de personen als de gegevens die worden verwerkt;

· Een beschrijving van de personen en/of organisaties die deze gegevens zullen ontvangen;

· De bewaartermijnen van de verzamelde gegevens;

· Een beschrijving van de manier waarop deze gegevens worden beveiligd.

Conclusie

Het verwerkingsregister is dus een nieuw regel uit de AVG. Door de komst van het verwerkingsregister wordt een onderneming verplicht een overzicht bij te houden van niet alleen de persoonsgegevens die ze verwerken, maar ook wat het doel is van het verwerken, hoelang deze gegevens worden bewaard en hoe de gegevens beveiligd worden. Aangezien er geen specifiek format is voor het opstellen van een verwerkingsregister, is het voor een onderneming gemakkelijk om zo’n register bij te houden. Let wel op dat het opstellen onder bepaalde omstandigheden (de omvang en het soort gegevens dat wordt verwerkt) verplicht is en dat je altijd dit register moet kunnen tonen indien de Autoriteit Persoonsgegevens hierom vraagt.