Verwerkingsregister voorbeeld

Er komt veel kijken bij het opstellen van een verwerkingsregister, maar het hoeft niet moeilijk te zijn. Een goed verwerkingsregister geeft je een overzicht van welke persoonsgegevens je verwerkt en waarom. Ook zorgt het ervoor dat je voldoet aan de privacywetgeving.

In dit artikel bespreken we hoe een voorbeeld van een verwerkingsregister eruit kan zien.

Wat is een verwerkingsregister?

Het verwerkingsregister biedt een gedetailleerd overzicht van alle verwerkingsactiviteiten van persoonsgegevens binnen jouw organisatie. Dit register helpt je niet alleen bij het voldoen aan wettelijke verplichtingen, maar ook bij het gestructureerd beheren van persoonsgegevens. Het verwerkingsregister moet worden bijgehouden door zowel de verwerkingsverantwoordelijke als de verwerker. Zo waarborg je dat alle betrokken partijen zorgvuldig omgaan met persoonsgegevens.

In het verwerkingsregister noteer je onder andere:

• welke gegevens je verwerkt;
• waarom je deze gegevens verwerkt;
• hoe je deze gegevens beschermt.

Het daadwerkelijke register kan er als volgt uitzien:

Categorie gegevens

Doel

Bewaartermijn

Naam, adres, woonplaats

Klantenadministratie

5 jaar

Geboortedatum

Verificatie van identiteit

2 jaar

Betaalgegevens

Verwerking betalingen

7 jaar

Een verwerkingsregister is essentieel binnen de privacywetgeving (AVG). Het bijhouden van een verwerkingsregister valt onder de verantwoordingsplicht. Hiermee kun je aantonen dat je voldoet aan de eisen van de privacywet. Door dit register actief te beheren, heb je controle over de privacygevoelige informatie binnen jouw organisatie en zorg je ervoor dat je voldoet aan alle wettelijke vereisten voor gegevensbescherming.

De verwerkingsverantwoordelijke binnen jouw organisatie, oftewel de persoon die beslist over het doel en de middelen van de verwerking, moet ervoor zorgen dat het register goed wordt bijgehouden. Dit is een vereiste onder de AVG (Algemene Verordening Gegevensbescherming) en wordt gecontroleerd door de Autoriteit Persoonsgegevens.

Zorg ervoor dat je het verwerkingsregister up-to-date houdt. Wanneer je nieuwe persoonsgegevens verwerkt of bestaande processen verandert, moet je het register aanpassen. Zo blijf je voldoen aan de vereisten van de AVG en toon je aan dat je verantwoordelijk omgaat met persoonsgegevens.

Wanneer heb je een verwerkingsregister nodig?

Een verwerkingsregister is verplicht voor elke organisatie die persoonsgegevens verwerkt. Dit geldt specifiek voor organisaties met 250 of meer medewerkers, maar  ook kleinere organisaties hebben soms een verwerkingsregister nodig. Als jouw organisatie minder dan 250 werknemers telt, gelden er uitzonderingen. Je hoeft bijvoorbeeld niet de incidentele gegevensverwerkingen te registreren, tenzij ze hoge risico's meebrengen. 

Situaties waarin een verwerkingsregister verplicht is:

1. Het verwerken van bijzondere persoonsgegevens, zoals medische gegevens.
2. Regelmatige en systematische monitoring van betrokkenen.
3. Verwerkingen die een groot risico inhouden voor de rechten en vrijheden van de betrokkenen.

Voorbeeldsituaties waarin een verwerkingsregister nodig is:

• Nieuwsbrieven sturen: Als je e-mailadressen verzamelt en nieuwsbrieven verstuurt, moet je dit opnemen in je verwerkingsregister.
• Medische gegevens: Een bedrijf dat medische gegevens van werknemers verwerkt, moet dit altijd registreren.
• Monitoring: Wanneer je regelmatig de activiteiten van je klanten of werknemers volgt, is een register verplicht.

Hoe stel je een verwerkingsregister op?

Een verwerkingsregister is een essentieel document dat duidelijk en nauwkeurig alle verwerkingsactiviteiten van persoonsgegevens binnen jouw organisatie weergeeft. Hieronder vind je enkele stappen die je kunnen helpen bij het opstellen van zo’n register.

1. Verzamel basisinformatie

Begin met het opschrijven van de naam en contactgegevens van jouw bedrijf. Dit omvat de volledige bedrijfsnaam, het adres, het e-mailadres en het telefoonnummer. Noteer ook gegevens van eventuele andere organisaties die samen met jou bepalen welke gegevens je verwerkt en hoe je dit doet.

2. Identificeer verwerkingsactiviteiten

Maak een overzicht van alle verwerkingsactiviteiten. Dit zijn alle activiteiten waarbij persoonsgegevens worden verwerkt, zoals klantenservice, marketingcampagnes of salarisadministratie. Schrijf per activiteit op welke gegevens worden verwerkt en wat het doel van die verwerking is.

3. Beschrijf de gegevenscategorieën

Beschrijf de verschillende categorieën persoonsgegevens die je verwerkt. Denk aan NAW-gegevens, e-mailadressen, telefoonnummers etc. Geef ook aan van wie je deze gegevens verwerkt: zijn het klanten, werknemers of leveranciers?

4. Documenteer de rechtsgrondslag

Vermeld voor elke verwerkingsactiviteit welke rechtsgrondslag je hebt voor de verwerking van persoonsgegevens. Dit kan een wettelijke verplichting zijn, een contractuele noodzaak of toestemming van de betrokkenen.

5. Beschrijf de bewaartermijnen

Noteer voor alle verwerkingsactiviteiten hoelang je de persoonsgegevens bewaart. Dit kan variëren afhankelijk van de gegevenssoort en de toepasselijke wettelijke verplichtingen.

6. Vermeld ontvangers van gegevens

Sommige persoonsgegevens worden gedeeld met andere partijen. Vermeld wie deze ontvangers zijn en voor welke doeleinden ze de gegevens ontvangen. Dit kunnen bijvoorbeeld externe IT-dienstverleners zijn.

7. Beveiligingsmaatregelen

Beschrijf welke technische en organisatorische maatregelen je hebt genomen om de persoonsgegevens te beveiligen. Denk aan encryptie, toegangscontrole en personeelsbeleid.

8. Checklist verwerkingsregister

Controleer tot slot of je alle benodigde informatie hebt opgenomen door een checklist verwerkingsregister te gebruiken. Dit helpt je te voldoen aan de verantwoordingsplicht onder de AVG en zorgt ervoor dat jouw verwerkingsregister compleet en accuraat is.

Veelgestelde vragen

Wanneer moet je een verwerkingsregister bijhouden?

Je moet een verwerkingsregister bijhouden als je persoonsgegevens verwerkt die niet incidenteel zijn. Dit geldt vooral als je persoonsgegevens van personeel of klanten verwerkt.

Een verwerkingsregister is verplicht volgens de AVG (GDPR), omdat je hiermee kunt aantonen dat je voldoet aan de verantwoordingsplicht.

Welke risico’s brengt gegevensverwerking met zich mee?

Het verwerken van persoonsgegevens brengt risico's met zich mee voor de betrokkenen, zoals identiteitsdiefstal, discriminatie of financiële schade. Het is dan ook essentieel om beveiligingsmaatregelen te nemen om deze risico's te minimaliseren. Je moet duidelijke afspraken maken en vastleggen hoe je deze risico’s onder controle houdt.

Wat zijn de eisen voor de verwerker?

Als verwerker moet je conform de AVG werken en de instructies van de verwerkingsverantwoordelijke volgen. Je bent verplicht om een verwerkersovereenkomst af te sluiten waarin de verantwoordelijkheden en beveiligingsmaatregelen zijn vastgelegd. Ook moet je zorgen voor voldoende beveiliging en een datalekregister bijhouden.

Moet je je wettelijke basis voor verwerking bepalen?

Ja, je moet altijd een wettelijke basis vaststellen voor de verwerking van persoonsgegevens. Dit kan bijvoorbeeld toestemming zijn van de betrokkenen, een wettelijke verplichting, de uitvoering van een overeenkomst of een vitaal belang. Het is belangrijk om dit duidelijk te documenteren in je verwerkingsregister.

Wat is de meest flexibele wettelijke basis voor verwerking?

De meest flexibele wettelijke basis voor verwerking is de belangenafweging. Hierbij weeg je jouw gerechtvaardigde belangen af tegen de privacyrechten van de betrokkenen. Deze basis biedt flexibiliteit, maar vereist wel een grondige risicoanalyse en een zorgvuldige afweging van alle betrokken belangen.

‍