Verantwoordingsplicht: iedereen een verwerkingsregister!

De Algemene Verordening Gegevensbescherming (AVG) legt de volledige verantwoordelijkheid bij organisaties (bedrijven, verenigingen, stichtingen, etc.)  om aan te tonen dat zij aan de privacyregels voldoen. De AVG dwingt een organisatie om goed na te denken over hoe zij persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht (“accountability”) zoals vastgelegd in de AVG houdt in dat wanneer de Autoriteit Persoonsgegevens (AP) daar om vraagt een organisatie moet kunnen aantonen dat de verwerkingen aan de regels van de AVG voldoen.

Zo moet een organisatie kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid. Ook moet aangetoond kunnen worden dat de juiste technische en organisatorische maatregelen zijn genomen om de persoonsgegevens te beschermen. De verplichte maatregelen die de AVG concreet noemt zijn:

  • Het bijhouden van een register van verwerkingsactiviteiten. Dit bevat informatie over de persoonsgegevens die de organisatie verwerkt. De AVG stelt geen vormvereisten maar schrijft wel voor welke informatie de verantwoordelijke of de verwerker in het register moet zetten
  • Naam en contactgegevens van de organisatie, eventuele andere organisaties met wie gezamenlijk de doelen en middelen van de verwerking zijn vastgesteld, de Functionaris voor de gegevensbescherming (FG) die is aangesteld
  • De doelen waarvoor de organisatie de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing
  • Een beschrijving van de categorieën van personen van wie de organisatie gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten
  • Een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen
  • De datum waarop de gegevens gewist moeten worden
  • De categorieën van ontvangers aan wie de organisatie persoonsgegevens verstrekt
  • Een beschrijving van de rechten die betrokkenen hebben en hoe zij die rechten kunnen uitoefenen, zoals het recht om een klacht in te dienen bij de AP maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens
  • Een algemene beschrijving van de technische en organisatorische maatregelen die zijn genomen om persoonsgegevens te beveiligen

Of een verwerkingsregister verplicht is, hangt wel af van de omvang van de organisatie en het type gegevens dat wordt verwerkt. Heeft een organisatie meer dan 250 medewerkers, dan is zij verplicht om een verwerkingsregister bij te houden. Heeft een organisatie minder dan 250 medewerkers? Dan moet zij over een verwerkingsregister beschikken wanneer zij persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of waarvan de verwerking niet incidenteel is en/of die vallen onder de categorie bijzondere persoonsgegevens zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

Vanwege de zinsnede “en/of waarvan de verwerking niet incidenteel is” zullen bijna alle organisaties een verwerkingsregister dienen op te stellen te onderhouden.