Verwerkingsregister

< Privacy (NL)/Alfabetische index
 * Engels: Records of processing activities
 * https://riskworld.nl/dossiers/legal/het-verwerkingsregister

Introductie
Organisaties met meer dan 250 medewerkers moeten een verwerkingsregister bijhouden. In juli 2018 kondigt de AP aan dat ze een steekproef gaan uitvoeren. Zie bericht op tweakers. Op https://www.avgregisterrijksoverheid.nl is te zien hoe de Rijksoverheid e.e.a. aanpakt.

Geldigheid
Organisaties met meer dan 250 medewerkers moeten een register bijhouden waarin ze zogenaamde verwerkingsactiviteiten bijhouden. Naast informatie over zichzelf moeten ze daarin bijvoorbeeld opnemen wat voor gegevens ze voor welk doel verwerken, met wie deze gegevens worden gedeeld en welke beveiligingsmaatregelen ze hebben genomen. Ook is het verplicht om aan te kunnen tonen dat daadwerkelijk om toestemming is gevraagd, mocht een bedrijf deze grond gebruiken voor zijn verwerking. In de praktijk komt het er waarschijnlijk op neer dat ook veel organisaties met minder dan 250 werknemers een register moeten bijhouden, omdat ze pas van die verplichting zijn vrijgesteld als ze bijvoorbeeld 'incidenteel' persoonsgegevens verwerken. Als een bedrijf echter regelmatig gegevens van klanten verwerkt, zal dit al snel niet meer als incidenteel gelden.

Inhoud verwerkingsregister
Het verwerkingsregister bevat de volgende gegevens:
 * Naam en contactgegevens van de verantwoordelijke(n), eventuele verwerker(s) en Data Protection Officer;
 * De verwerkingsdoeleinden;
 * Beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
 * De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt;
 * Eventuele doorgifte aan derde landen of internationale organisaties;
 * Beoogde termijnen waarbinnen de gegevens moeten worden gewist;
 * Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.