De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar de kwaliteit van verwerkingsregisters bij 30 grote organisaties. Dit heeft geleid tot 5 concrete aanbevelingen. We zetten ze voor u op een rij.

Het verwerkingsregister

Het verwerkingsregister bevat een overzicht van de verwerkingen van persoonsgegevens die binnen uw organisatie plaatsvinden. Als uw organisatie meer dan 250 personen in dienst heeft, is uw organisatie sowieso verplicht om een dergelijk overzicht op te stellen.

Een verkenning door AP

De AP heeft een verkennend onderzoek gedaan onder 30 grote organisaties uit 10 private sectoren.

Maar waarom?

Volgens de voorzitter van de AP geeft de kwaliteit van het register een indruk hoe een organisatie de AVG naleeft. Het verwerkingsregister vormt daarmee een goede peilstok.

Hoe het met de kwaliteit van de registers bij de onderzochte organisaties staat, meldt de AP overigens niet. Wel geven ze op basis van hun onderzoek 5 concrete aanbevelingen voor iedere organisatie met een verwerkingsregister. Er is dus blijkbaar nog ruimte voor verbetering.

5 tips om uw verwerkingsregister op orde te krijgen

1. Bewaren persoonsgegevens

De AVG stelt dat het niet toegestaan is om persoonsgegevens zomaar te bewaren. U mag ze enkel bewaren voor het doel waarmee ze verzameld zijn. Ook moet u kunnen motiveren waarom u deze gegevens verzamelt.

De tip van de AP:

benoem in het verwerkingsregister hoe lang en met welk doel u persoonsgegevens wil bewaren.

2. Contactgegevens verwerkingsverantwoordelijke

Bij het uitbesteden van de verwerking van persoonsgegevens, is er sprake van een verwerkingsverantwoordelijke en een verwerker. Deze laatst genoemde is de partij waaraan de verwerking wordt uitbesteed.

De AP doet als aanbeveling om de contactgegevens van de verwerkingsverantwoordelijke op te nemen in het register.

3. Overzichtelijk bestand

Blijkbaar zijn niet alle verwerkingsregisters even overzichtelijk opgebouwd. Daarom adviseert de AP om een overzichtelijk bestand te maken van alle verwerkingen van persoonsgegevens, waarin gebruikers eenvoudig kunnen navigeren.

4. Locatie van persoonsgegevens

Als mensen hun persoonsgegevens willen inzien of verwijderen, dan is het noodzakelijk te weten waar deze gegevens bewaard zijn. De AP tipt dan ook om duidelijk in het register aan te geven op welke locatie of in welk bestand persoonsgegevens bewaard worden.

5. Doel bij de verwerking

Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende. De AP geeft aan duidelijk te maken in het register welk doel bij welke verwerking hoort.

Uw verwerkingsregister op orde?

De Autoriteit Persoonsgegevens verspreidt deze aanbevelingen niet voor niets. U doet er dan ook goed aan om uw register van verwerkingen te controleren op deze vijf punten.

Heeft u hier nog advies bij nodig of wilt u uw register nog eens goed tegen het licht van de AVG aan laten houden? Onze ICT-juristen helpen u graag verder. Bel ons direct via 010 2290 646 of kijk op www.legalz.nl/avg.

Ontvang onze blogs in uw mailbox

Wilt u onze blogs gewoon in uw mailbox ontvangen? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.