De algemene meldplicht komt te vervallen, maar met de komst van de AVG worden organisaties verplicht tot het aanhouden van een register met alle verwerkingen. Wat houdt dit register in en wie moet een register houden?
Algemene meldplicht wordt Register van verwerkingsactiviteiten
Onder de Wet bescherming persoonsgegevens (Wbp) heeft de verantwoordelijke nog een plicht om voorafgaand aan een nieuwe verwerking van persoonsgegevens dit te melden bij de Autoriteit Persoonsgegevens (AP). Dit wordt de algemene meldplicht genoemd en heeft overigens niets met de meldplicht datalekken te maken.
Per 25 mei 2018 zal dit veranderen. De verantwoordelijke met 250 werknemers of meer zal onder de AVG een register moeten aanleggen met alle verwerkingen van persoonsgegevens. Met het register kan de verantwoordelijke voldoen aan haar verantwoordingsplicht (accountability) die in de AVG wordt beschreven.
Verantwoordelijke met minder dan 250 werknemer
Heeft u als organisatie minder dan 250 werknemers in dienst, dan is een verwerkingsregister verplicht indien u aan één van de volgende voorwaarden voldoet:
- u verwerkt persoonsgegevens die een zogenaamd “hoog risico” opleveren voor de rechten en vrijheden van de betrokkenen (personen) of;
- als de verwerking van persoonsgegevens niet sporadisch plaatsvindt of;
- als de persoonsgegevens die u verwerkt vallen onder de categorie bijzondere persoonsgegevens (artikel 9 en 10 AVG).
Is van één van de vorige voorwaarden geen sprake, dan is het opstellen en bijhouden van een register niet verplicht.
Eisen aan het register
Het register zal dus alle verwerkingsactiviteiten van de verantwoordelijke moeten bevatten en wel helemaal uitgeschreven (zie artikel 30 AVG). Het register moet daarnaast beschikbaar zijn voor de AP indien zij inzicht wil hebben in de verwerkingen van een verantwoordelijke.
Een verwerkingsactiviteit in het register moet de volgende informatie bevatten:
a) de naam en de contactgegevens van de verantwoordelijke (de organisatie) en eventueel de gegevens van de functionaris voor gegevensbescherming;
b) de doeleinden van de verwerkingsactiviteiten;
c) een omschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d) de ontvangers van de persoonsgegevens;
e) eventueel informatie over de doorgifte van persoonsgegevens aan derde landen of internationale organisaties;
f) de voorgenomen bewaartermijnen van de verschillende categorieën persoonsgegevens;
g) indien mogelijk de beschrijving van de technische en organisatorisch maatregelen om de persoonsgegevens te beschermen.
Het register van de verwerker
Naast een verplichting voor de verantwoordelijke, komt de AVG ook met een verplichting voor de verwerker om een register aan te houden. Het betreft het registreren van alle verwerkingen van persoonsgegevens welke de verwerker ten behoeve van de verantwoordelijken verwerkt.
Het register van de verwerker (art. 30 lid 2 AVG) hoeft niet zo uitgebreid te zijn als die van de verantwoordelijke. De volgende onderdelen dienen in het register van de verwerker te staan:
a) de naam en de contactgegevens van de verantwoordelijke en de verwerker(s) en eventueel de gegevens van de functionaris voor gegevensbescherming;
b) de categorieën van verwerkingen welke in opdracht van elke verantwoordelijke zijn uitgevoerd;
c) eventueel informatie over de doorgifte van persoonsgegevens aan derde landen of internationale organisaties;
d) indien mogelijk de beschrijving van de technische en organisatorisch maatregelen om de persoonsgegevens te beschermen.
Programma’s en tools voor het beheer van het register (AVG)
Om invulling te geven aan de eisen die de AVG stelt aan het register, kan het praktisch zijn om programmatuur te gebruiken die helpt bij het invullen van het register: een registertool.
Er zijn een aantal tools en online services die het bijhouden en invullen van het register ondersteunen. Een aantal bekende registertools zijn (niet limitatief):
- OneTrust
- Usoft
- Privacy Perfect
- Smile
- DPOrganizer
Voor verdere tips over de invulling van het register, bekijk ook “Handreiking register van verwerkingen voor gemeenten“