Ga naar Index

Zo krijg je je verwerkingsregister klaar voor de AVG


Extra administratieve lasten vanwege AVG (GDPR)
Extra administratieve lasten vanwege AVG (GDPR)

Stap 1: het lijstje met wat, van wie aan wie bewaar en verstuur jij gegevens.

Kortom de actie van vorige week: maak een lijst van persoonsgegevens die je als bedrijf hebt van je klanten en leveranciers en medewerkers. Ben je er nog niet aan toe gekomen? Klik dan hier voor de uitleg. Op basis van dit lijstje kan je vrij eenvoudig de volgende stap maken.

Stap 2: creëer een verwerkingsregister

De Algemene verordening gegevensverwerking (AVG of in het Engels GDPR) eist van bedrijven dat ze per 25 mei 2018 de registratie van persoonsgegevens op orde hebben. Je moet in kaart brengen wat voor gegevens je verwerkt, waarom je dat doet en hoe lang je het bewaart. In sommige gevallen moet je iemand aanwijzen die vanuit een neutrale positie deze inventarisatie controleert en rapporteert aan de Autoriteit Persoonsgegevens. Een soort accountant voor data dus.

Dit is allemaal geen rocket science, maar het levert helaas wel extra administratieve lasten op. Er is een hele industrie ontstaan van bedrijven die quick scans aanbieden, workshops geven of zelfs certificering doen. Dat kan in sommige gevallen nuttig zijn, maar uiteindelijk gaat het om kernprocessen in je organisatie die je in kaart moet brengen. En dat kan je prima zelf doen.

Voor een wat kleiner bedrijf is de lijst van vorige week een mooi startpunt. Het register moet dan antwoord geven op de volgende vragen:

Wat moet er in het verwerkingsregister?

Per verwerkingsactiviteit zal jouw bedrijf het volgende moeten registreren:

  • Wie beheert de gegevens in jouw bedrijf? Vaak zal dat de directeur zijn, want zij /hij is eindverantwoordelijk. Vul hier de naam en contactgegevens van de verantwoordelijke, eventuele gezamenlijke verwerkingsverantwoordelijken en de Functionaris Gegevensbescherming (de FG) in;
  • Waarvoor gebruik jij de gegevens? Denk hierbij aan : adressen van klanten en medewerkers om ze te kunnen informeren over hun aankopen, arbeidsvoorwaarden, salarisstroken, facturen, wijzigingen in leveringsvoorwaarden etc. Kortom de doeleinden voor gegevensverwerking;
  • Van wie bewaar je wat? Een beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
  • Met wie deel jij de gegevens? De (voorgenomen) categorieën ontvangers;
  • Sla je de gegevens op in de cloud? Beschrijf hier dan ik welk land de gegevensopslag gebeurt. Als je bij een Amerikaans bedrijf zoals Amazon en Microsoft je mailboxen hebt staan dan is dit belangrijk. Doe een vermelding van een verstrekking van persoonsgegevens aan een derde land of een internationale organisatie;
  • De (voorgenomen) bewaartermijnen en
  • Wat doe je om de gegevens veilig te versturen en bewaren? Een algemene beschrijving van de beveiligingsmaatregelen.

Het is aan jou dus de taak om klanten of anderen van wie je de persoonsgegevens verwerkt te laten begrijpen wat er met die gegevens gebeurt.

Stap 3: hou het verwerkingsregister up to date.

Als er nieuwe gegevens of nieuwe betrokkenen bij komen in jouw bedrijfsvoering dan moet je het register bijwerken. Als je vragen hebt over het creëren van jouw verwerkingsregister of het eindresultaat aan mij wil voorleggen, dan hoor ik graag van je. Volgende week ga ik je helpen met het opstellen van een privacyverklaring. Succes met alles en samen werken we aan een veiligere digitale wereld.

PS: Gebruik Secumail om veilig te e-mailen, dan kan je dat ook mooi in je verwerkingsregister als beveiligingsmaatregel opnemen.


Goede informatie? Deel het!