Heeft u al een verwerkingsregister?

Het oneindig bewaren van persoonsgegevens mag op grond van de Avg niet meer. Daarom is het heel belangrijk om een verwerkingsregister op te stellen. Uit onderzoeken van de Autoriteit Persoonsgegevens is gebleken dat veel ondernemingen nog niet beschikken over zo’n register. Onderstaand informeren wij u over de nut en de noodzaak van een verwerkingsregister.

Verwerkingsregister is verplicht
Als financieel dienstverlener bent u verplicht om een verwerkingsregister te hebben.
Reden hiervan is dat u structureel persoonsgegevens verwerkt van uw klanten en/of medewerkers. Vaak zijn dit ook nog gevoelige persoonsgegevens, omdat het financiële gegevens betreft als inkomen, vermogen, schulden en/of bezittingen.
U bent verplicht het register te verstrekken op eerste verzoek van de Autoriteit Persoonsgegevens.


Hoe ziet een verwerkingsregister eruit
Het verwerkingsregister is vormvrij maar onderstaande elementen moeten in ieder geval terugkomen:

• Benoem hoe lang en met welk doel je persoonsgegevens wilt bewaren. Op grond van de Avg is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moet u kunnen motiveren waarom u deze gegevens verzameld.
• Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
• Maak inzichtelijk welke organisatorische en technische maatregelen u heeft getroffen om persoonsgegevens te beveiligen.
• Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin medewerkers op een eenvoudige wijze terug kunnen vinden welke persoonsgegevens worden verwerkt. Dit betekent dus dat u per verwerking een overzicht moet opstellen.
• Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden. Dit geldt ook voor de partijen aan wie u de persoonsgegevens doorgeeft. Neem deze locaties of bestanden en ontvangers op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
• Maak per verwerking van persoonsgegevens duidelijk met welk doel u dit doet. Alleen een opsomming van de verwerkingen in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
• Zorg ervoor dat u concrete bewaartermijnen vaststelt per verwerking en vastlegt welke partijen, naast uzelf, de persoonsgegevens verwerken. Dit zijn de zogenaamde verwerkers.
   

De dagelijkste praktijk
Alleen het opstellen van een verwerkingsregister is uiteraard niet voldoende. Belangrijker nog is het beleid hieromtrent in de dagelijkse praktijk. Dit betekent dat u:

• Ook geen andere persoonsgegevens verwerkt dan die zijn vastgelegd in het verwerkingsregister.
• Jaarlijks controleert welke bewaartermijnen zijn verstreken en deze persoonsgegevens verwijderd.
• Periodiek evalueert of de getroffen technische en organisatorische maatregelen nog volstaan.
• Periodiek de verwerkingen evalueert of deze nog actueel zijn. Belangrijke aspecten daarbij zijn locaties en bestanden waar gegevens bewaard worden, ontvangers en verwerkers van de persoonsgegevens.

Visie Autoriteit persoonsgegevens
‘De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft.’

                                                    Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens.

Meer informatie
Heeft u vragen over adequate inrichting van een verwerkingsregister of uw Avg Compliance? Neem dan contact op met Ophrys voor meer informatie over onze dienstverleningspakketten of vul het contactformulier in.