Voorbereiding op de nieuwe privacywet AVG | Stap 3: Persoonsgegevensverwerking overzicht

Bron: Autoriteit Persoonsgegevens

Stap drie is het in kaart brengen van de gegevensverwerkingen binnen de organisatie. Hierbij is het de bedoeling dat er precies gedocumenteerd wordt welke persoonsgegevens je verwerkt en met welk doel je dit doet. Maar ook waar deze gegevens vandaan komen en met wie je ze eventueel deelt, zowel binnen jouw eigen organisatie als met derden.

Onder de nieuwe privacywet AVG heb je een verantwoordingsplicht. Dit houdt in dat je moet kunnen aantonen dat jouw organisatie handelt in overeenstemming met de AVG. Het bijhouden van een register m.b.t. de verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.

Je kunt het register ook nodig hebben als betrokkenen hun privacyrechten uitoefenen en zij jou vragen hun gegevens te corrigeren of verwijderen. Maar ook moet je dit doorgeven aan de organisaties waarmee je eventueel hun gegevens hebt gedeeld.

Een register van verwerkingsactiviteiten

Het bijhouden van een register van verwerkingsactiviteiten is dus een onderdeel van de verantwoordingsplicht en in veel gevallen een verplichte maatregel maar geldt dus niet voor iedereen. Of ook jij zo'n register moet opstellen hangt af van de omvang van jouw organisatie en het type gegevens dat je verwerkt. 

Organisaties met meer dan 250 medewerkers

Heeft jouw organisatie meer dan 250 medewerkers? Dan ben je verplicht om een register van verwerkingsactiviteiten bij te houden.

Organisaties met minder dan 250 medewerkers

Heeft jouw organisatie minder dan 250 medewerkers? Dan moet je alleen een register bijhouden wanneer je persoonsgegevens verwerkt:

  • waarvan de verwerking niet incidenteel is. Let wel op dat in de praktijk verwerkingen zelden incidenteel zijn. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die je verwerkt. Of van jouw klanten, cliënten, patiënten of inwoners en/of;
  • die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie je persoonsgegevens verwerkt en/of;
  • die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.
  • Bent u verplicht om een register van verwerkingsactiviteiten op te stellen? Dan moet u dit register kunnen verstrekken wanneer de Autoriteit Persoonsgegevens daar om vraagt.