Met de introductie van de Algemene Verordening van Gegevensverwerking (AVG) hoeft u gegevensverwerkingen niet meer te melden bij de Autoriteit Persoonsgegevens. In plaats hiervan heeft u als organisatie de verantwoordingsplicht om met documenten te kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.
Een van de verplichtingen is het aanleggen van een Register van Verwerkingen. Dit register bevat informatie over de persoonsgegevens die u verwerkt. U mag als organisatie zelf bepalen hoe u zo'n register opstelt. Wel schrijft de AVG voor welke informatie u als verantwoordelijke of verwerker in het register moet zetten. Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet u het register direct kunnen laten zien.
Zo'n Register van Verwerkingen dient voor de verantwoordelijke o.a. de volgende zaken te bevatten:
- naam en contactgegevens van de organisatie, de naam van de Functionaris Gegevensbescherming en organisaties waarmee u persoonsgegevens deelt
- de doelen waarvoor u de persoonsgegevens verwerkt
- een beschrijving van de categorieën van personen van wie u gegevens verwerkt
- een beschrijving van de categorieën persoonsgegevens die u opslaat
- hoe lang u gegevens bewaart
- deelt u gegevens met organisaties buiten de EU? dan moet u dit in het register aangeven
- een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens te beveiligen.
ESWD Everything Starts with Data kan u ondersteunen bij het opstellen van een Register van Verwerkingen. Mocht u hier meer over willen weten, neem dan contact met ons op.