Verwerkingenregister

Verwerkingenregister
De AVG vereist in veel gevallen een register van verwerkingsactiviteiten. Dit noemen we ook wel de documentatieplicht. Echter is voor veel ondernemingen onduidelijk of en in welke mate ze aan deze plicht moeten gaan voldoen.

In beginsel stelt de AVG deze verplichting als uitgangspunt voor iedere onderneming met vervolgens meerdere punten waarop een onderneming vrijgesteld kan zijn van de implementatie van een verwerkingen register.

Een van de belangrijkste pijlers voor de AVG is dus het toepassen van het verwerkingsregister/verwerkingenregister. Het is in de praktijk echter een van de meer bureaucratische en ingrijpende procedures voor uw bedrijf. Duidelijkheid te krijgen over de noodzakelijk, de wijze of zelfs mogelijke vrijstelling is daarom absoluut de moeite waard.

Vrijstelling wanneer:
(zeer belangrijk is dat alle (“en”) genoemde criteria van toepassingen moet zijn op uw bedrijf/organisatie.

• De organisatie heeft minder dan 250 werknemers (personen, niet fte) en
• de verwerking geen groot risico inhoudt voor de betrokkenen; en
• de verwerking is incidenteel; en
• er worden geen bijzondere gegevens verwerkt.

Is uw bedrijf groter dan 250 medewerkers dan dient u zonder enkele twijfel een verwerkingsregister te implementeren. Er zijn echter maar weinig bedrijven die aansluiten bij de 4 grote uitzonderingen. Want wanneer is er sprake van risico?, en wat is incidenteel? Bij bijzondere gegevens is het wel duidelijk. Namelijk alle gegevens die buiten de normale NAW/Contact gegevens vallen. Denk daarbij aan medische informatie, seksuele geaardheid, geloofsovertuiging e.d.

Dus als klein bedrijf (wat is klein.. minder dan 250 medewerkers?) moet u zich toch als snel houden aan die verplichting tot het implementeren van een verwerkingenregister?

Toch vrijstelling van verwerkingsregister

Wanneer uw bedrijf kleiner is dan 10 medewerkers bent u voor de AVG (GDPR) een micro-onderneming. In dat geval gaat de AVG er in beginsel vanuit de dat de verwerkingen incidenteel en klein van omvang zijn. Echter wanneer we als voorbeeld een webshop nemen (eenmanszaak/zzp) die toch zeg 500+ klanten per jaar bedient. Is er dan sprake van incidenteel?

De AVG verlangt van iedere ondernemer, directeur een bestuurder om logisch na te denken over de daadwerkelijke omvang van persoonsgegevens, de risico’s en de impact bij incidenten.

Wil je als braafste jongetje van de klas er zeker van zijn die stickerkaart van de juf vol te krijgen? Dan doe je er goed aan om dat register hoe dan ook te gaan implementeren en gebruiken. Ben je die ZZP’er of de directeur van “micro-formaat” bedrijf (Europees gezien) zijn de risico’s laag?, en weet je goed te documenteren hoe, waarom en hoelang gegevens verwerkt, bewerkt en bewaard worden, en is daarbij ook de beveiliging op orde? Dan zit je zo verwachten wij, aardig safe!

Aan deze pagina wordt nog gewerkt.

Dat register moet er komen
Kies je ervoor of is het overduidelijk dat de verplichting van toepassing is, dan dient het register van verwerkingsactiviteiten te voldoen aan het volgende:

• Naam en contactgegevens van de verwerkingsverantwoordelijke (de onderneming)en
• van de Functionaris Gegevensbescherming (FG of DPO genoemd) als je die hebt;
• Doeleinden van de verwerking (waarom verwerk je de persoonsgegevens);
• Beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
• Met wie persoonsgegevens gedeeld worden;
• Of gegevens in een derde land worden opgeslagen;
• Bewaartermijnen van de persoonsgegevens;
• Algemene beschrijving van technische en organisatorische beveiligingsmaatregelen