Wpg voor boa's - Register van verwerkingen

Vanuit de AVG moeten organisaties een register van verwerkingen bijhouden. Deze bevat informatie over de persoonsgegevens die door de organisatie worden verwerkt. De Wpg voor boa's stelt aanvullende eisen aan dit register. Wij zetten ze kort voor je op een rijtje!

Marcel van Langen

Veel organisaties moeten een verwerkingsregister bijhouden. De richtlijnen hiervoor zijn opgenomen in de Algemene verordening gegevensbescherming (AVG). Zo is het bijvoorbeeld verplicht wanneer je meer dan 250 medewerkers hebt, of wanneer de verwerking van persoonsgegevens niet incidenteel is, of wanneer je bijzondere persoonsgegevens verwerkt. In de praktijk komt het erop neer dat een organisatie zelden geen register bij hoeft te houden. Dat heeft er alles mee te maken dat bijna iedere organisatie wel structureel persoonsgegevens verwerkt. Dit is al het geval wanneer je een personeelsadministratie bijhoudt of een klantadministratie.

Vereisten AVG register

In het register houd je informatie bij over de persoonsgegevens die je verwerkt. Maar welke informatie is dat nu precies? Dat bepaal je - naast de eisen die artikel 30 AVG noemt - voor een deel zelf. Het kan dan ook nog een hele klus zijn om exact te bepalen welke velden je wilt opnemen. Bekijk maar eens wat online beschikbare templates, en je zult zien dat er veel verschillen zijn. Bovendien maakt het hierbij uit of je verwerkingsverantwoordelijke bent of verwerker. Als verwerkingsverantwoordelijke moet je meer informatie bijhouden dan als verwerker. Ga in ieder geval uit van de volgende velden als verwerkingsverantwoordelijke:

  • verwerkingsdoelen
  • verwerkingsgrondslagen
  • categorieën van persoonsgegevens
  • subverwerkers
  • categorieën van betrokkenen
  • categorieën van ontvangers
  • eventuele doorgifte van persoonsgegevens
  • eventuele bewaartermijnen
  • eventuele beveiligingsmaatregelen
  • eventuele naam van de FG

Ben je geen verwerkingsverantwoordelijke maar verwerker, dan kun je uitgaan van de volgende velden:

  • naam van de verwerkingsverantwoordelijke
  • contactgegevens van de verwerkingsverantwoordelijke
  • categorieën van verwerkingen
  • categorieën van betrokkenen
  • eventuele doorgifte van persoonsgegevens
  • eventuele beveiligingsmaatregelen
  • eventuele naam van de FG

Sommige organisaties kiezen ervoor om twee aparte registers bij te houden: een als verwerkingsverantwoordelijke, en een als verwerker. Zeker voor organisaties die veel verschillende verwerkingen doen is dit aan te raden. Het zorgt voor een stukje overzichtelijkheid.

Aanvullende Wpg vereisten

De verwerking van politiegegevens moeten ook in het register zijn opgenomen. Je kunt daarvoor een nieuw register starten, maar je kunt deze ook opnemen in je bestaande register(s). Wees je er daarbij wel van bewust dat de verwerking van politiegegevens aanvullende velden vereist. Wij zetten ze hieronder voor je op een rijtje:

  • geef de rechtsgrondslag aan van de verwerking, waarvoor de politiegegevens bedoeld zijn;
  • geef aan of (en zo ja, welke vorm van) profilering ingezet wordt;
  • geef aan welke artikel 6 Wpg autorisaties worden toegekend.

Daarnaast is het te adviseren om bij de verwerkingen bij te houden of de verwerkingen (waarschijnlijk) een hoog risico vormen voor de rechten en vrijheden van personen. In dat geval moet er namelijk ook een zogenaamde DPIA (Data Protection Impact Assessment) zijn uitgevoerd. Dit veld is niet verplicht, maar wel te adviseren.

Verder is het goed om hier te vermelden dat de verwerking van politiegegevens zijn eigen categorieën van betrokkenen kent. Een veelgebruikte standaard categorisering is die in verdachten, slachtoffers en getuigen.

Tenslotte

Normity is helemaal klaar voor de Wpg voor de boa's. Zo vind je de complete normering in Normity, kun je eenvoudig je compliancy vastleggen. Verder biedt onze privacymodule een register waarin je ook bovengenoemde aanvullende velden kwijt kunt. Meer weten? Laat het ons weten!

WPG persoonsgegeven persoonsgegevens register verwerking verwerkingen verwerkingsregister AVG boa richtlijn bewaartermijn categorie subverwerker doorgifte profilering rechtsgrondslag autorisatie artikel

Wpg voor BOA's

Dit artikel is onderdeel van een reeks. Via onderstaande links kun je de overige bijbehorende artikelen ook lezen.

1 - Introductie
2 - Register van verwerkingen