Hoe gedetailleerd moet het verwerkingsregister zijn?

Op hoofdlijnen, gedetailleerd, of dat hangt ervan af?

Het register richt je vaak in op het niveau van een proces of een verwerking. Het detailniveau dat je gebruikt hangt af van een aantal factoren. Wat is het risicoprofiel van de organisatie? Een gemeente zal meer risico lopen dan bijvoorbeeld een bouwbedrijf. Welk ambitieniveau heb je als organisatie? De ene organisatie wil de basis op orde hebben terwijl een andere organisatie streeft naar compliant zijn op de AVG. Hoe dan ook, het is wel aan te raden om, naarmate de gegevens meer gevoelig zijn, een meer gedetailleerde uitwerking te hanteren.

Maar in ieder geval moet in een register het volgende worden opgenomen:

  • je naam en contactgegevens;
  • de naam en contactgegevens van partijen waarmee je een gezamenlijke verwerkingsverantwoordelijkheid hebt (indien van toepassing);
  • de contactgegevens van je functionaris voor gegevensbescherming (indien van toepassing);
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen;
  • een beschrijving van de categorieën van persoonsgegevens;
  • de categorieën van ontvangers (indien van toepassing);
  • doorgiften aan een derde land (indien van toepassing);
  • de beoogde termijnen voor gegevenswissing (ofwel de bewaartermijnen);
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Als je het register gaat inrichten, kijk dan ook nog even goed naar artikel 30 AVG. Daarin staat precies wat er in het register moet staan.

 

Is elke organisatie verplicht om een register te hebben?

In de praktijk: ja. In theorie is er een uitzondering, maar die komen wij in de praktijk nauwelijks tegen. In de AVG staat een uitzondering voor organisaties die minder dan 250 personen in dienst hebben, maar dan moet je wel aan de volgende voorwaarden voldoen:

  • het is niet waarschijnlijk dat de verwerking die je verricht een risico inhoudt voor de rechten en vrijheden van de betrokkenen;
  • de verwerking is incidenteel (let op: dit is vooral een lastige); of
  • de verwerking bevat geen bijzondere categorie van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.

Kleine kans dat je onder deze uitzonderingssituatie valt. Vrijwel iedere organisatie verwerkt wel regelmatig (‘niet incidenteel’) persoonsgegevens. Daarom durven we wel te stellen dat de meeste organisaties een register moeten hebben.