Het register van de verwerkingsactiviteiten is een van de belangrijkste documenten in de naleving van de AVG. In geval van een onderzoek zou de Gegevensbeschermingsautoriteit u kunnen vragen om dit voor te leggen. Heeft u het nog niet opgesteld? Geen paniek! Lexing biedt u een kleine inhaalsessie.
Wie moet een register van verwerkingsactiviteiten bijhouden?
Elke verwerkingsverantwoordelijke en, desgevallend, zijn vertegenwoordiger in de EU, dient een register van de verwerkingsactiviteiten bij te houden die verricht zijn onder zijn verantwoordelijkheid.
In afwijking daarvan hoeven ondernemingen of organisaties met minder dan 250 werknemers geen dergelijk register bij te houden. Zij zullen echter alleen van deze verplichting worden vrijgesteld als aan de volgende 3 voorwaarden is voldaan:
- de verrichte verwerking houdt geen risico in voor de rechten en vrijheden van de betrokkenen,
- de verwerking is incidenteel,
- de verwerking betreft geen bijzondere categorieën van gegevens (artikelen 9 en 10 van de AVG).
Met andere woorden, de verwerkingsverantwoordelijke zal zeer zelden ontsnappen aan de verplichting om een register bij te houden.
De verwerker (d.w.z. elk organisme dat voor rekening van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, bv. een IT-dienstverlener) is ook verplicht een register bij te houden van de gegevensverwerkingsactiviteiten die hij uitvoert.
Welke verwerkingsactiviteiten moeten in het register worden opgenomen?
In de eerste plaats moet u bepalen welke verschillende verwerkingsactiviteiten in het register van gegevensverwerking moeten worden opgenomen.
U zult dan een blad in uw register wijden aan elke activiteit.
Deze eerste stap blijkt in vele gevallen vrij vervelend. De activiteiten kunnen immers niet te ruim worden gedefinieerd, omdat het risico bestaat dat zij niet voldoende gedetailleerd zijn, doch evenmin te eng, omdat het risico bestaat dat de bladzijden van het register tot in het oneindige worden vermenigvuldigd!
Het register bevat bijvoorbeeld:
- documenten met betrekking tot de relaties van de onderneming met haar klanten (beheer van het dossier/de aanvraag van de klant, administratief beheer van de relatie met de klant, beheer van eventuele klachten/conflicten, enz.),
- personeelsdossiers (aanwerving van personeel, administratief beheer van het personeel, enz.),
- of gegevens met betrekking tot de promotieactiviteiten van de onderneming (organisatie van evenementen, nieuwsbrief …).
Wat moet er in het verwerkingsregister staan?
Voor de verwerkingsverantwoordelijken
In de praktijk bestaat het register uit een eerste bladzijde met de volgende algemene informatie:
- de naam en de contactgegevens van de verwerkingsverantwoordelijke (en, indien van toepassing, de gezamenlijke verwerkingsverantwoordelijke, de vertegenwoordiger van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming);
- de lijst van de bladen van verwerkingsactiviteiten die door de verwerkingsverantwoordelijke worden uitgevoerd.
Vervolgens bevat een blad voor elke verwerkingsactiviteit de volgende informatie:
- de verwerkingsdoeleinden;
- een beschrijving van de categorieën van betrokkenen en de categorieën van persoonsgegevens;
- de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
- de doorgifte van persoonsgegevens naar een derde land (met vermelding van het land in kwestie en de documenten waaruit blijkt dat passende garanties bestaan);
- voor zover mogelijk, de termijnen voor het bewaren van de verwerkte gegevens;
- voor zover mogelijk, een algemene beschrijving van de getroffen technische en organisatorische beveiligingsmaatregelen.
Er zij op gewezen dat er voor de fiches betreffende bewakingscamera’s een aantal aanvullende gegevens in het register moet worden opgenomen.
Voor de verwerkers
Voor verwerkers is de vereiste informatie beperkter. In het register van verwerkingsactiviteiten van verwerkers moeten alleen de volgende gegevens worden opgenomen:
- de naam en de contactgegevens van de verwerkingsverantwoordelijke (en, indien van toepassing, de gezamenlijke verwerkingsverantwoordelijke, de vertegenwoordiger van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming);
- de naam en de contactgegevens van elke verwerkingsverantwoordelijke namens wie de verwerker optreedt (en van hun eventuele vertegenwoordiger in de EU, alsmede van hun eventuele functionaris voor gegevensbescherming);
- de categorieën van verwerkingen die voor rekening van elke verwerkingsverantwoordelijke worden uitgevoerd;
- de doorgifte van persoonsgegevens naar een derde land (met vermelding van het land in kwestie en de documenten waaruit blijkt dat passende garanties bestaan);
- voor zover mogelijk, een algemene beschrijving van de getroffen technische en organisatorische beveiligingsmaatregelen.
Als de verwerker voor veel cliënten werkt, kan het ingewikkeld zijn om deze lijst bij te houden. Het toevoegen van de verwerking aan het register moet daarom deel uitmaken van de werkmethode, tenzij de verwerker een automatisering van het proces implementeert.
Welke vorm moet het verwerkingsregister aannemen?
De AVG schrijft geen bepaalde vorm voor het register voor. De enige voorwaarde is dat het register in schriftelijke vorm wordt opgesteld. Het formaat is dus vrij (elektronisch of op papier).
Om de verwerkingsverantwoordelijken bij te staan, hebben zowel de Franse als de Belgische toezichthoudende autoriteiten basisregistermodellen in Excel- of Word-formaat ter beschikking gesteld.
De CNIL heeft ook haar eigen register op haar website gepubliceerd.
Ons advies:
Om niets te vergeten in uw register, raden wij u aan om bij het invullen van de formulieren meerdere kleine vergaderingen te organiseren met de verantwoordelijken van de verschillende afdelingen van uw onderneming die gegevens verwerken (personeelszaken, klantenrelaties, onderzoek en ontwikkeling, enz.).
De ervaring leert dat men de eerste keer niet aan alles denkt!
Het gedeelte van het formulier dat betrekking heeft op de bewaartermijnen van de gegevens is meestal problematisch voor de opsteller van het register. Welke termijn moet men ingeven? U kunt de video van onze opleiding over dit onderwerp hier bekijken.
Als uw register eenmaal is opgesteld, vergeet het dan niet regelmatig bij te werken. Voor elke nieuwe activiteit op het gebied van gegevensverwerking moet een nieuwe fiche worden opgesteld.
Het opstellen van een verwerkingsregister is een belangrijke stap op weg naar de naleving van de AVG, evenals het regelmatig bijwerken ervan. Onze specialisten van de afdeling Creactivity staan uiteraard ter uwer beschikking om u hierbij te helpen.