De verwerkingsregisters
die overheden verplicht moeten bijhouden op grond van de Algemene verordening
gegevensbescherming, zijn slecht toegankelijk. Dit blijkt uit een onderzoek
van Open State Foundation die deze registers bij alle Nederlandse ministeries,
provincies en gemeenten opgevraagd heeft. Een op de vijf overheden publiceert
deze registers, bijna tweederde van de registers is nog niet compleet en de
registers zien er bij alle overheden anders uit.
Sinds 25 mei 2018 is de Algemene
Verordening Gegevensbescherming (AVG) van toepassing. De AVG legt de
verantwoordelijkheid bij organisaties om aan te tonen dat zij aan de
privacyregels voldoen. Een van de nieuwe verplichtingen die dat voor een
organisaties met zich mee heeft gebracht is het bijhouden van een zogenaamd
verwerkingsregister.
Is een
verwerkingsregister verplicht?
Het opstellen van een register van verwerkingsactiviteiten
(verwerkingsregister) is onder de Algemene verordening gegevensbescherming
(AVG) vaak een verplichte maatregel. Of een organisatie een verwerkingsregister
moet opstellen, hangt af van de omvang van de organisatie en het type gegevens
dat de organisatie verwerkt.
Organisaties met meer dan 250 medewerkers zijn altijd verplicht om een
verwerkingsregister bij te houden. Voor organisaties met minder dan 250
medewerkers ligt dat anders. Deze organisaties moeten alleen over een
verwerkingsregister beschikken als een of meer van de volgende situaties van
toepassing is:
·
De
verwerking van persoonsgegevens is niet incidenteel. In de praktijk zijn
verwerkingen echter zelden incidenteel. Bijna alle organisaties verwerken
immers persoonsgegevens van medewerkers, klanten, cliënten, leden, patiënten of
inwoners.
·
De verwerking
van persoonsgegevens houdt een hoog risico in voor de rechten en vrijheden van
de personen van wie u persoonsgegevens verwerkt.
·
De
organisatie verwerkt persoonsgegevens die vallen onder de categorie bijzondere
persoonsgegevens. Dit is bijvoorbeeld het geval indien gevoelige
persoonsgegevens worden verwerkt, zoals gegevens over godsdienst, gezondheid en
politieke voorkeur of strafrechtelijke gegevens.
Bovenstaande voorwaarden komen er in de praktijk op neer dat bijna
iedere organisatie verplicht is om een verwerkingsregister bij te houden.
Wat moet er in het
verwerkingsregister staan?
Het (verwerkingsregister bevat informatie over de persoonsgegevens die een
organisatie verwerkt. De organisatie mag zelf weten hoe het register wordt
opgesteld. Wel schrijft de AVG voor welke informatie een organisatie als
verantwoordelijke of verwerker in het verwerkingsregister moet zetten.
De organisatie is
verwerkingsverantwoordelijke
In de organisatie degene die beslist of, en zo ja, welke gegevens worden
verwerkt, met welk doel dat gebeurt en op welke wijze, dan is die organisatie de
verantwoordelijke. Elke verantwoordelijke houdt een register van de
verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat
register bevat alle volgende gegevens:
· de naam en
de contactgegevens van de organisatie en, in voorkomend geval, van de
functionaris voor gegevensbescherming;
· de
doeleinden van de verwerking;
· een
beschrijving van de categorieën van betrokkenen (degenen van wiens
persoonsgegevens worden verwerkt) en van de categorieën van persoonsgegevens
(bijvoorbeeld NAW-gegevens, BSN, financiële gegevens, e-mailadressen);
· de
categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden
verstrekt, onder meer ontvangers in landen buiten de EER, internationale
organisaties of bewerkers;
· doorgiften
van persoonsgegevens aan een land buiten de EER of een internationale
organisatie, met inbegrip van de vermelding van dat land of die internationale
organisatie;
· de
termijnen waarbinnen de verschillende categorieën van gegevens worden gewist;
· een
beschrijving van de technische en organisatorische beveiligingsmaatregelen.
De organisatie is
een verwerker
De verwerker is degene die in opdracht en ten behoeve van de
verantwoordelijke persoonsgegevens verwerkt, denk bijvoorbeeld aan een
administratiekantoor of een hostingprovider. De verwerker houdt een register
van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een
verantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:
· de naam en
de contactgegevens van de bewerker en van iedere verantwoordelijke voor
rekening waarvan de bewerker handelt en de functionaris voor gegevensbescherming;
· de
categorieën van verwerkingen die voor rekening van iedere verantwoordelijke
zijn uitgevoerd;
· doorgiften
van persoonsgegevens aan een land buiten de EER of een internationale
organisatie, met inbegrip van de vermelding van dat land of die internationale
organisatie;
· een
beschrijving van de getroffen technische en organisatorische
beveiligingsmaatregelen.
Omdat een verwerker doorgaans ook gegevens verwerkt van klanten,
leveranciers, werknemers etc., moeten zij twee verschillende verwerkingsregisters
bijhouden.
Het register kan worden opgevraagd door de Autoriteit Persoonsgegevens. Elke
organisatie is verplicht medewerking te verlenen aan de toezichthoudende
autoriteit en dit register desgevraagd te verstrekken met het oog op het
gebruik daarvan voor het toezicht op de verwerkingsactiviteiten.
