Vanuit de AVG moeten organisaties een register van verwerkingen bijhouden. Deze bevat informatie over de persoonsgegevens die door de organisatie worden verwerkt. De Wpg voor boa's stelt aanvullende eisen aan dit register. Wij zetten ze kort voor je op een rijtje!
Veel organisaties moeten een verwerkingsregister bijhouden. De richtlijnen hiervoor zijn opgenomen in de Algemene verordening gegevensbescherming (AVG). Zo is het bijvoorbeeld verplicht wanneer je meer dan 250 medewerkers hebt, of wanneer de verwerking van persoonsgegevens niet incidenteel is, of wanneer je bijzondere persoonsgegevens verwerkt. In de praktijk komt het erop neer dat een organisatie zelden geen register bij hoeft te houden. Dat heeft er alles mee te maken dat bijna iedere organisatie wel structureel persoonsgegevens verwerkt. Dit is al het geval wanneer je een personeelsadministratie bijhoudt of een klantadministratie.
In het register houd je informatie bij over de persoonsgegevens die je verwerkt. Maar welke informatie is dat nu precies? Dat bepaal je - naast de eisen die artikel 30 AVG noemt - voor een deel zelf. Het kan dan ook nog een hele klus zijn om exact te bepalen welke velden je wilt opnemen. Bekijk maar eens wat online beschikbare templates, en je zult zien dat er veel verschillen zijn. Bovendien maakt het hierbij uit of je verwerkingsverantwoordelijke bent of verwerker. Als verwerkingsverantwoordelijke moet je meer informatie bijhouden dan als verwerker. Ga in ieder geval uit van de volgende velden als verwerkingsverantwoordelijke:
Ben je geen verwerkingsverantwoordelijke maar verwerker, dan kun je uitgaan van de volgende velden:
Sommige organisaties kiezen ervoor om twee aparte registers bij te houden: een als verwerkingsverantwoordelijke, en een als verwerker. Zeker voor organisaties die veel verschillende verwerkingen doen is dit aan te raden. Het zorgt voor een stukje overzichtelijkheid.
De verwerking van politiegegevens moeten ook in het register zijn opgenomen. Je kunt daarvoor een nieuw register starten, maar je kunt deze ook opnemen in je bestaande register(s). Wees je er daarbij wel van bewust dat de verwerking van politiegegevens aanvullende velden vereist. Wij zetten ze hieronder voor je op een rijtje:
Daarnaast is het te adviseren om bij de verwerkingen bij te houden of de verwerkingen (waarschijnlijk) een hoog risico vormen voor de rechten en vrijheden van personen. In dat geval moet er namelijk ook een zogenaamde DPIA (Data Protection Impact Assessment) zijn uitgevoerd. Dit veld is niet verplicht, maar wel te adviseren.
Verder is het goed om hier te vermelden dat de verwerking van politiegegevens zijn eigen categorieën van betrokkenen kent. Een veelgebruikte standaard categorisering is die in verdachten, slachtoffers en getuigen.
Normity is een betaalbare cloudoplossing voor de ondersteuning van managementsystemen voor iedere norm. Op dit moment worden normen als ISO 9001, ISO 27001, NEN 7510, BIO, HKZ, VCA, ISO 20252 en ISO 14001 ondersteund. En natuurlijk ook de Wpg! Meer weten? Neem contact met ons op!
Dit artikel is onderdeel van een reeks. Via onderstaande links kun je de overige bijbehorende artikelen ook lezen.
1 - Introductie
2 - Register van verwerkingen
3 - Top 10 begrippen
4 - Verwerkingsgrondslagen