Het verwerkingsregister: wat, waar en waarom?
Het is de kern van een goed privacybeleid: een verwerkingsregister. Zie het als de ‘boekhouding’ van je privacy programma. De ‘jaarrekeningen’, namelijk de privacyverklaringen, zullen niet uit de verf komen wanneer niet goed in kaart is gebracht welke persoonsgegevens er binnen een organisatie worden verwerkt. Hiervoor dient een verwerkingsregister.
Maar wanneer dien je een verwerkingsregister te hebben?
De verplichting voor het hebben van een verwerkingsregister valt in beginsel niet op alle organisaties. Echter moeten alle organisaties die persoonsgegevens verwerken en waarbij:
- de verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkenen;
- de verwerking niet incidenteel is;
- de verwerking bijzondere of strafrechtelijke gegevens betreft;
een verwerkingsregister hebben en bijhouden. Dit komt er in de praktijk op neer dat vrijwel iedere organisatie een verwerkingsregister bij moet houden.
Wat hoort er in het verwerkingsregister te staan?
De AVG stelt bepaalde eisen aan de inhoud van het verwerkingsregister. De volgende informatie omtrent de verwerking van persoonsgegevens moet erin staan:
- De naam en contactgegevens van de organisatie;
- De verwerkingsdoeleinden;
- Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
- De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
- De bewaartermijnen van persoonsgegevens;
- Een algemene beschrijving van de maatregelen die de organisatie heeft genomen om de persoonsgegevens te beschermen.
Waar moet dit verwerkingsregister bewaard worden?
Een verwerkingsregister is een dynamisch document. Wanneer er processen veranderen, dan is de kans groot dat de verwerking van persoonsgegevens daarbij ook veranderd. Het verwerkingsregister moet dus regelmatig ge-update worden. Daarnaast kan het zeker geen kwaad om het verwerkingsregister af en toe door te nemen, om te kijken of het nog actueel is.
Onze oplossing
ISPE snapt dat dit in de praktijk best lastig kan zijn en dat je als organisatie soms door de bomen het bos niet ziet. Speciaal hiervoor hebben wij CARIS ontwikkeld. Dit is privacy management software waarin je op een laagdrempelige manier je privacyadministratie, waaronder het verwerkingsregister, bij kunt houden. En het mooie is: wij kunnen op afstand met je meedenken en -kijken.
Je boekhouding doe je toch ook niet in Excel? Het kan misschien wel, maar handig is het zeker niet! Foutgevoelig wel. Doe jezelf dit voor je AVG-verplichtingen niet aan en maak gebruik van CARIS.
Wil je meer weten over het verwerkingsregister of over CARIS? Neem contact met ons op!