Het korte antwoord op deze vraag is simpelweg ‘ja’. Alle bedrijven zijn in principe verplicht om een register van verwerkingsactiviteiten bij te houden.
De inhoud
In het register wordt er een opsomming gemaakt van de belangrijkste informatie over de verwerking van persoonsgegevens. Een greep uit de informatie die er onder andere in moet staan:
- Van wie verzamelt u gegevens (de zogenaamde categorieën van betrokkenen), denk daarbij aan klanten, websitebezoekers, leveranciers, et cetera;
- Welke gegevens u verzamelt, denk daarbij aan naam, adres, geboortedatum, BSN nummer, pasfoto’s en alles wat verder is terug te herleiden naar een persoon;
- De zogenaamde verwerkingsdoeleinden, oftewel een beschrijving van de reden waarom de gegevens worden verzameld, waarbij de reden moet vallen binnen de mogelijke redenen die de AVG biedt;
- Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen;
- Uw naam en contactgegevens;
- De bewaartermijnen;
- Informatie omtrent verwerkers van de persoonsgegeven.
Het register dient altijd een volledig en actueel overzicht te geven van de manier waarop de persoonsgegevens worden verwerkt.
Uitzondering op verplichting
Er gelden een aantal uitzonderingen voor het bijhouden van een register. U bent bijvoorbeeld niet verplicht om een register bij te houden wanneer u minder dan 250 werknemers in dienst heeft, tenzij:
- De verwerking niet- incidenteel is. Denk hierbij aan het bijhouden van een personeelsadministratie of klantendatabase;
- Er sprake is van de verwerking van bijzondere categorieën van persoonsgegevens of gegevens betreffende strafrechtelijke veroordeling of strafbare feiten; of
- De verwerking waarschijnlijk een risico voor betrokkenen met zich meebrengt.
Door de eerste uitzondering wordt in de praktijk een verplichting in het leven geroepen voor alle bedrijven en instellingen om een register bij te houden. Immers wordt in vrijwel elke organisatie wel een bepaalde administratie bijgehouden.
De manier van vastlegging
Er zijn geen strenge eisen gesteld aan de manier waarop het register van verwerkingsactiviteiten wordt vormgegeven. Het mag op papier, maar ook in een elektronische vorm, zoals een excel sheet.
Indien de Autoriteit Persoonsgegevens daarom vraagt moet het register worden overhandigd.
Tenslotte
Heeft u nog geen register van verwerkingsactiviteiten? Of heeft u nog geen tijd of zin gehad om u te verdiepen in dit register? Neem dan gerust contact met ons op! Wij helpen u graag verder.