Leesbaarheid:

Verwerkingsregister opstellen

Deze informatie is geplaatst door: Rijksdienst voor Ondernemend Nederland (RVO)

Verwerkt uw bedrijf persoonsgegevens? Dan moet u kunnen laten zien dat u aan de privacywetgeving voldoet. Dat laat u zien met een verwerkingsregister.

Verwerkt uw bedrijf persoonsgegevens? U bewaart, gebruikt of deelt bijvoorbeeld namen, adresgegevens en telefoonnummers? Dan moet u kunnen laten zien dat u aan de privacywetgeving, de Algemene verordening gegevensbescherming (AVG), voldoet (verantwoordingsplicht). U moet misschien verwerkingsregister hebben.

Is een verwerkingsregister verplicht?

In het verwerkingsregister staat informatie over de persoonsgegevens die u gebruikt. Of een verwerkingsregister AVG voor u verplicht is, heeft te maken met het soort gegevens dat uw bedrijf verwerkt en hoe groot uw bedrijf is:

  • Werken er meer dan 250 mensen in uw bedrijf? Dan moet u een verwerkingsregister bijhouden.
  • Werken er minder dan 250 mensen in uw bedrijf? Dan hoeft u geen verwerkingsregister bij te houden.

Let op: in deze situaties moet u ook bij minder dan 250 medewerkers een verwerkingsregister bijhouden:

  • u verwerkt regelmatig persoonsgegevens
  • u verwerkt persoonsgegevens met een hoog risico voor de rechten en vrijheden van de betrokken personen.
  • u verwerkt bijzondere persoonsgegevens (bijvoorbeeld gegevens over gezondheid, religie, politieke voorkeur of strafrechtelijke gegevens)

Bent u verplicht een verwerkingsregister bij te houden? Dan moet u dit kunnen laten zien als de toezichthouder Autoriteit Persoonsgegevens dat vraagt.

Wat staat in het verwerkingsregister?

In het verwerkingsregister staat informatie over persoonsgegevens die u verwerkt. U mag zelf weten hoe u het verwerkingsregister opstelt. Volgens de privacywet moet er in ieder geval het volgende in een verwerkingsregister staan:

  • naam en contactgegevens van uw bedrijf
  • eventuele andere organisaties waarmee u bepaalt welke gegevens u verwerkt en hoe
  • de functionaris voor de gegevensbescherming (als u die heeft)
  • het doel van de gegevensverwerking
  • een beschrijving van de personen van wie u gegevens verwerkt
  • een beschrijving van de soort gegevens
  • de datum waarop u de gegevens moet wissen
  • met welke organisaties u de persoonsgegevens deelt en of dit organisaties buiten de EU zijn
  • wat u doet om de persoonsgegevens te beveiligen

Voorbeeld verwerkingsregister

Er bestaat geen standaard model van een verwerkingsregister. U mag zelf bepalen hoe u het verwerkingsregister opstelt. Zoekt u een voorbeeld van een verwerkingsregister voor uw bedrijf? Informeer dan bij uw brancherorganisatie.

Verwerker moet ook verwerkingsregister bijhouden

Bent u niet de organisatie die bepaalt waarom en hoe de persoonsgegevens worden gebruikt (de verwerkingsverantwoordelijke)? Maar verwerkt u persoonsgegevens in opdracht van een andere organisatie (de verwerker)? Dan moet u ook een verwerkingsregister bijhouden.

Privacyverklaring

Als u persoonsgegevens verwerkt heeft u naast een verantwoordingsplicht ook een informatieplicht. U moet uw klanten laten weten wat u met hun persoonsgegevens doet. Dat kunt u doen met een privacyverklaring.