Algemeen

Volgens artikel 30 van de AVG moet een verwerkingsverantwoordelijke een register bijhouden van alle verwerkingen van persoonsgegevens. In dat register moeten in ieder geval de volgende zaken staan:

Ben jij, of is jouw organisatie de ‘verwerkingsverantwoordelijke’?

Stelt jouw organisatie zelf het doel en de middelen voor de verwerking van de persoonsgegevens vast? Dan is jouw organisatie de verwerkingsverantwoordelijke. De wet schrijft voor dat deze verantwoordelijken de volgende informatie in het register moeten opnemen:

  • de naam en contactgegevens van:
    • jouw organisatie, of de vertegenwoordiger van jouw organisatie;
    • eventuele andere organisaties met wie je gezamenlijk de doelen en middelen van de verwerking hebt vastgesteld;
    • de Functionaris voor Gegevensbescherming (FG) als je die hebt aangesteld;
    • eventuele andere internationale organisaties waar je persoonsgegevens mee deelt.
  • de doelen waarvoor je de persoonsgegevens verwerkt; bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing;
  • een beschrijving van de categorieën van personen van wie je gegevens verwerkt; bijvoorbeeld uitkeringsgerechtigden, klanten, werknemers, leden, vrijwilligers, cliënten of patiënten;
  • een beschrijving van de categorieën van persoonsgegevens; zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen;
  • de datum waarop je de gegevens moet wissen (als deze bekend is);
  • de categorieën van ontvangers aan wie je persoonsgegevens verstrekt;
  • deel je de gegevens met een land of internationale organisatie buiten de EU? Dan moet je dit aangeven in het register;
  • een algemene beschrijving van de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens die je verwerkt te beveiligen.

Ben je een ‘verwerker’?

Verwerk je in opdracht van een verantwoordelijke persoonsgegevens? Bijvoorbeeld omdat je werkt bij een administratiekantoor of een online dienst voor gegevensopslag? Dan moet de volgende informatie in je verwerkingsregister staan:

  • de naam en contactgegevens van:
    • jouw organisatie, of de vertegenwoordiger van jouw organisatie, of de verwerkingsverantwoordelijke;
    • een Functionaris voor Gegevensbescherming (FG) als je die hebt aangesteld;
    • een beschrijving van de categorieën van verwerkingen die je in opdracht van iedere verantwoordelijke uitvoert;
    • eventuele andere internationale organisaties met wie je persoonsgegevens deelt.
  • deel je de gegevens met een land of internationale organisatie buiten de EU? Dan moet je dit aangeven in het register;
  • een algemene beschrijving van de technische en organisatorische maatregelen die je hebt genomen om persoonsgegevens die je verwerkt te beveiligen.

Voorbeelden

Op de website van de KNMP vind je een voorbeeld van een verwerkingenregister voor apothekers.