Iedere organisatie werkt met persoonsgegevens. Op grond van de AVG heb je daarom een aantal verplichtingen. Een ervan is het opstellen van een verwerkingsregister. Het geeft een duidelijk inzicht in de persoonsgegevens die je verwerkt, en je laat zien dat je aan de AVG voldoet.
Wat is het?
Een overzicht waaruit blijkt welke persoonsgegevens je verzamelt en op grond waarvan, met wie je gegevens deelt, hoe lang je die persoonsgegevens bewaart en hoe je ze beveiligt.
Voor wie is het van belang?
Voor elke organisatie die persoonsgegevens verwerkt is dit verplicht. Als organisatie/bedrijf moet je kunnen laten zien dat je aan de AVG voldoet, en ook hoe je dat doet.
Wat houdt het in?
Je maakt een overzicht, bijv. in Excel, daarin zet je de antwoorden op de volgende vragen:
- Van wie verzamel je persoonsgegevens? Bijv. van je medewerkers, klanten, patiënten, leerlingen, bezoekers van je website etc.
- Welke persoonsgegevens verzamel je? Bijv. naam, telefoonnummer, emailadres van je klant.
- Op grond waarvan verzamel je die gegevens? Bijv. op grond van een arbeidsovereenkomst met je medewerker.
- Hoe lang bewaar je die gegevens? Bijv. tot twee jaar nadat iemand uit dienst is, of tot twee maanden nadat iemand gesolliciteerd heeft.
- Hoe heb je die persoonsgegevens beveiligd, en wie hebben toegang tot die gegevens? Dat kan fysieke toegang zijn – zit er een slot op de kast? En ook digitale toegang – dat kun je instellen.
- Met welke organisaties deel je die gegevens? Bijv. met de belastingdienst, het UWV, Google?
- Werk je met bedrijven of organisaties buiten de EU? Bijv. in IJsland, of in de VS? Heb je gecheckt of je persoonsgegevens mag uitwisselen met bedrijven in die landen?
- Zijn er bedrijven die persoonsgegevens van jouw medewerkers verwerken? JAN© doet voor jou bijv. de loonadministratie. Heb je verwerkersovereenkomsten gesloten?
Waarom is dit nodig?
Het is verplicht op grond van de AVG. Je krijgt zo bovendien zelf meer inzage in de verwerking van persoonsgegevens en of je aan de regels van de AVG voldoet.
Je voldoet aan het beginsel van transparantie en je kunt adequaat reageren bij een hack of datalek, of als iemand wil weten welke gegevens je van hem of haar (of hen) verwerkt.
Ook in geval van een bedrijfsovername is het handig om snel overzicht te hebben, van wie je welke persoonsgegevens verwerkt, op grond waarvan. Hoe lang je die gegevens bewaart en met wie je ze deelt, en of dat ook met bedrijven buiten de EU gebeurt en of je verwerkers-overeenkomsten hebt.
Als je hierover meer wil weten of als je hulp wil bij het opstellen van een register voor de verwerking van persoonsgegevens neem dan contact op met mr. Fleur van Tol via FleurvanTol@JAN.nl of 088-2202238.