Advocaten en notariaat in Leiden en Den Haag
Menu
IT, IE & Privacy

Hoe stel ik een verwerkingsregister op?

Natascha van Duuren

5 juni 2019 - 2 minuten leestijd

In mijn vorige blog ben ik ingegaan op de vraag of,  en zo ja,  wanneer het  wettelijk verplicht is een verwerkingsregister op te stellen. Op het moment dat u heeft vastgesteld dát u verplicht bent een verwerkingsregister op te stellen, is de volgende vraag: hoe doe ik dat? Op deze laatste vraag zal in dit blog worden ingegaan.

Hoe stel ik het register op?

De wet schrijft niet voor hóe u het register moet vormgeven. U kunt hiervoor een speciaal ontwikkelde tool aanschaffen. U kunt ook eenvoudigweg een Excel bestand maken.

Worden er eisen gesteld aan de informatie die ik in een verwerkingsregister moet opstellen?

In tegenstelling tot de vorm van een verwerkingsregister, worden er wel eisen gesteld aan de inhoud. Deze wettelijke eisen zijn te vinden in artikel 30 lid 1 AVG. In dit artikel wordt onderscheid gemaakt tussen de verplichtingen van de verwerkingsverantwoordelijke en de verplichtingen van de verwerker. Dit betekent dat u allereerst zullen moeten (laten) vaststellen of u verwerkingsverantwoordelijke of verwerker bent. Deze vraag is overigens niet altijd even eenvoudig te beantwoorden. Zie in dit kader de blog “Gezamenlijke verantwoordelijkheid in de AVG: licht in de duisternis?

In dit blog zal allereerst worden ingegaan op de gegevens die de verwerkingsverantwoordelijke verplicht op dient te nemen in het verwerkingsregister. Op grond van artikel 30 lid 1 AVG dient de verantwoordelijke kort gezegd alle volgende gegevens op te nemen:

  1. de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
  2. de verwerkingsdoeleinden;
  3. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  4. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
  5. indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en de documenten inzake de passende waarborgen;
  6. indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
  7. indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Afsluiting

Wilt u advies over de toepassing van bovenstaand artikel op uw concrete situatie? Bent u verwerkingsverantwoordelijke of verwerker? Wat dient u precies onder “een derde land” of “verwerkingsdoeleinden” te verstaan? En hoe zit het met bewaartermijnen? Neem dan contact op met Natascha van Duuren, n.vanduuren@declercq.com of 06-54983766.

Blijf op de hoogte

Ontvang de laatste updates en de beste tips in je inbox

Ook interessant?