De Autoriteit Persoonsgegevens (AP) heeft een verkennend onderzoek gedaan naar de kwaliteit van de verwerkingsregisters bij dertig grote organisaties uit tien private sectoren. Op basis van het onderzoek komt de AP nu met vijf concrete aanbevelingen.
De regelgeving rondom een verwerkingsregister is vastgelegd in de Algemene Verordening Gegevensbescherming (AVG). Organisaties met meer dan 250 medewerkers zijn altijd verplicht een dergelijk register bij te houden. Organisaties met minder dan 250 medewerkers moeten over een verwerkingsregister beschikken wanneer:
Welke informatie in het register moet worden opgenomen is afhankelijk van de vraag of uw organisatie verwerker of verwerkingsverantwoordelijke is.
Naar aanleiding van het bovengenoemde onderzoek doet de AP vijf concrete aanbevelingen voor de inrichting van het register:
1. Benoem hoe lang en met welk doel u persoonsgegevens wilt bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
Wilt u meer weten over de inrichting van uw verwerkingsregister? Neem dan contact met ons op!
Gieljan Stevelmans
