De AVG komt eraan: heeft u een register verwerkingsactiviteiten nodig?

Geplaatst op:3 april 2018

Het is al bijna 25 mei. Vanaf die datum moet u als ondernemer voldoen aan de nieuwe privacyregels. Deze regels zijn streng, de boetes hoog. Hoogste tijd om nu écht in actie te komen. In een eerder blog attendeerden wij u al op de komst van de Algemene Verordening Gegevensbescherming (AVG). In dit blog vertellen wij u meer over het register verwerkingsactiviteiten. Wanneer is dit register verplicht? En wat neemt u er in op?

Wat is de AVG?

De AVG is een Europese verordening, die vanaf 25 mei 2018 de Wet bescherming persoonsgegevens (Wbp) vervangt. Internationaal staat de AVG ook wel bekend als de ‘General Data Protection Regulation’ (GDPR). De AVG is strenger dan de Wbp: burgers krijgen meer en stevigere privacyrechten, organisaties vooral meer verplichtingen. Houden organisaties zich niet aan de AVG? Dan mag de Autoriteit Persoonsgegevens hoge boetes opleggen, tot wel twintig miljoen euro of 4% van de wereldwijde jaaromzet.

Wat is het verwerken van persoonsgegevens?

Vrijwel iedere organisatie verzamelt persoonsgegevens. Denkt u daarbij aan namen, adressen, telefoonnummers en email- of IP-adressen (via cookies). Bijna alles wat u met die gegevens doet, zoals opslaan, gebruiken of bewerken, wordt onder de AVG ‘verwerken’ genoemd. En daarmee krijgt dus ook vrijwel iedere organisatie te maken met de AVG. Verwerkt uw organisatie ook persoonsgegevens? Dan moet u, als de Autoriteit Persoonsgegevens daarom vraagt, aantonen dat u aan de AVG voldoet. Dit wordt ook wel de ‘verantwoordingsplicht’ genoemd. Sommige organisaties zijn daarbij op grond van de AVG verplicht om een register verwerkingsactiviteiten aan te leggen.

Wat is een register verwerkingsactiviteiten?

Een register verwerkingsactiviteiten is een register van alle gegevensverwerkingen die binnen uw organisatie, of onder uw verantwoordelijkheid plaatsvinden. Voor organisaties met meer dan 250 werknemers is het vanaf 25 mei 2018 verplicht een register verwerkingsactiviteiten te hebben. Deze verplichting geldt ook voor organisaties met minder dan 250 werknemers die persoonsgegevens verwerken:

  • Waarvan de verwerking niet incidenteel is. In de praktijk zullen verwerkingen zelden incidenteel blijken zijn. Ook u verwerkt vast structureel de persoonsgegevens van uw personeel, klanten of (website)bezoekers;
  • Die een hoog risico opleveren voor de rechten en vrijheden van de betrokkenen;
  • Die vallen in de categorie ‘bijzondere persoonsgegevens’. Dit zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvatting, religieuze of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijken, alsmede genetische gegevens en gegevens over gezondheid of seksueel gedrag. Ook de persoonsgegevens van minderjarige kinderen vallen hieronder.

Op basis van deze criteria zal vrijwel elke organisatie zo’n register moeten bijhouden.

Wat neemt u op in het register verwerkingsactiviteiten?

U mag zelf weten hoe u het register vormgeeft. U kunt op internet inmiddels verschillende modellen vinden, maar ook een Excel-sheet voldoet. De Autoriteit Persoonsgegevens mag het register opvragen. U bent dan verplicht om inzage te geven.

In het register moet u in ieder geval de volgende informatie opnemen:

  • De naam en het adres van uw organisatie en, als u een Functionaris Gegevensverwerking (FG) heeft, de naam en contactgegevens van de FG.
  • Het doel waarvoor u de persoonsgegevens verwerkt (bijvoorbeeld voor werving en selectie van personeel, het leveren van producten of diensten, of voor marketingdoeleinden).
  • De categorieën persoonsgegevens die u verwerkt (bijvoorbeeld NAW-gegevens, contactgegevens of betaalgegevens).
  • De categorieën betrokkenen (werknemers, klanten, websitebezoekers)
  • Aan wie u persoonsgegevens verstrekt.
  • Of u gegevens doorgeeft aan landen buiten de EU.
  • De bewaartermijn van de gegevens.
  • De wijze van beveiliging (bijvoorbeeld encryptie of pseudonimisering).

 

Heeft u vragen over de AVG? Of hulp nodig bij het opstellen van uw register verwerkingsactiviteiten? Neem dan contact met ons op. Schravenmade Advocaten helpt u graag verder.

Elke werkdag bereikbaar
Stel uw vraag

E-mail specifieke vragen
info@Schravenmade.nl
Bel ons voor al uw vragen: 
0346-55 47 03

Contactinformatie

Bisonspoor 1218
3605 KZ Maarssen
Tel: 0346-55 47 03
Fax: 0346-56 07 64
Info@Schravenmade.nl

Schrijf u in voor onze tweewekelijkse nieuwsbrief

advocaat utrecht high trust
envelopephone-handset

Onze tweewekelijkse update ontvangen?

Schrijf u nu in voor onze Ondernemers Update en ontvang iedere twee weken op donderdag onze nieuwsbrief met belangrijke wetswijzigingen, uitspraken en andere juridische updates. 

You have Successfully Subscribed!

Share This
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram