Wpg voor boa's - Register van verwerkingen

Vanuit de AVG moeten organisaties een register van verwerkingen bijhouden. Deze bevat informatie over de persoonsgegevens die door de organisatie worden verwerkt. De Wpg voor boa's stelt aanvullende eisen aan dit register. Wij zetten ze kort voor je op een rijtje!

Marcel van Langen
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Google Normity - Icoon - Plus

Veel organisaties moeten een verwerkingsregister bijhouden. De richtlijnen hiervoor zijn opgenomen in de Algemene verordening gegevensbescherming (AVG). Zo is het bijvoorbeeld verplicht wanneer je meer dan 250 medewerkers hebt, of wanneer de verwerking van persoonsgegevens niet incidenteel is, of wanneer je bijzondere persoonsgegevens verwerkt. In de praktijk komt het erop neer dat een organisatie zelden geen register bij hoeft te houden. Dat heeft er alles mee te maken dat bijna iedere organisatie wel structureel persoonsgegevens verwerkt. Dit is al het geval wanneer je een personeelsadministratie bijhoudt of een klantadministratie.

Vereisten AVG register

In het register houd je informatie bij over de persoonsgegevens die je verwerkt. Maar welke informatie is dat nu precies? Dat bepaal je - naast de eisen die artikel 30 AVG noemt - voor een deel zelf. Het kan dan ook nog een hele klus zijn om exact te bepalen welke velden je wilt opnemen. Bekijk maar eens wat online beschikbare templates, en je zult zien dat er veel verschillen zijn. Bovendien maakt het hierbij uit of je verwerkingsverantwoordelijke bent of verwerker. Als verwerkingsverantwoordelijke moet je meer informatie bijhouden dan als verwerker. Ga in ieder geval uit van de volgende velden als verwerkingsverantwoordelijke:

  • verwerkingsdoelen
  • verwerkingsgrondslagen
  • categorieën van persoonsgegevens
  • subverwerkers
  • categorieën van betrokkenen
  • categorieën van ontvangers
  • eventuele doorgifte van persoonsgegevens
  • eventuele bewaartermijnen
  • eventuele beveiligingsmaatregelen
  • eventuele naam van de FG

Ben je geen verwerkingsverantwoordelijke maar verwerker, dan kun je uitgaan van de volgende velden:

  • naam van de verwerkingsverantwoordelijke
  • contactgegevens van de verwerkingsverantwoordelijke
  • categorieën van verwerkingen
  • categorieën van betrokkenen
  • eventuele doorgifte van persoonsgegevens
  • eventuele beveiligingsmaatregelen
  • eventuele naam van de FG

Sommige organisaties kiezen ervoor om twee aparte registers bij te houden: een als verwerkingsverantwoordelijke, en een als verwerker. Zeker voor organisaties die veel verschillende verwerkingen doen is dit aan te raden. Het zorgt voor een stukje overzichtelijkheid.

Aanvullende Wpg vereisten

De verwerking van politiegegevens moeten ook in het register zijn opgenomen. Je kunt daarvoor een nieuw register starten, maar je kunt deze ook opnemen in je bestaande register(s). Wees je er daarbij wel van bewust dat de verwerking van politiegegevens aanvullende velden vereist. Wij zetten ze hieronder voor je op een rijtje:

  • geef de rechtsgrondslag aan van de verwerking, waarvoor de politiegegevens bedoeld zijn;
  • geef aan of (en zo ja, welke vorm van) profilering ingezet wordt;
  • geef aan welke artikel 6 Wpg autorisaties worden toegekend.

Daarnaast is het te adviseren om bij de verwerkingen bij te houden of de verwerkingen (waarschijnlijk) een hoog risico vormen voor de rechten en vrijheden van personen. In dat geval moet er namelijk ook een zogenaamde DPIA (Data Protection Impact Assessment) zijn uitgevoerd. Dit veld is niet verplicht, maar wel te adviseren.

Verder is het goed om hier te vermelden dat de verwerking van politiegegevens zijn eigen categorieën van betrokkenen kent. Een veelgebruikte standaard categorisering is die in verdachten, slachtoffers en getuigen.

Tenslotte

Normity is een betaalbare cloudoplossing voor de ondersteuning van managementsystemen voor iedere norm. Op dit moment worden normen als ISO 9001, ISO 27001, NEN 7510, BIO, HKZ, VCA, ISO 20252 en ISO 14001 ondersteund. En natuurlijk ook de Wpg! Meer weten? Neem contact met ons op!

WPG persoonsgegeven persoonsgegevens register verwerking verwerkingen verwerkingsregister AVG boa richtlijn bewaartermijn categorie subverwerker doorgifte profilering rechtsgrondslag autorisatie artikel

Wpg voor BOA's

Dit artikel is onderdeel van een reeks. Via onderstaande links kun je de overige bijbehorende artikelen ook lezen.

1 - Introductie
2 - Register van verwerkingen
3 - Top 10 begrippen
4 - Verwerkingsgrondslagen

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Google Normity - Icoon - Plus

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management