Het verwerkingsregister

Vrijwel elke organisatie is verplicht om een verwerkingsregister bij te houden. Deze verplichting volgt uit de Algemene verordening gegevensbescherming (AVG). Welke organisaties moeten een verwerkingsregister hebben en wat staat daar eigenlijk in?

Meer informatie

Wie moet een verwerkingsregister bijhouden?

De hoofdregel is dat organisaties die minstens 250 personen in dienst hebben, een verwerkingsregister moeten bijhouden. Organisaties die minder dan 250 personen in dienst hebben, moeten ook een verwerkingsregister bijhouden als sprake is van een van onderstaande gevallen:

  • organisatie houdt zich bezig met risicovolle verwerkingen (zoals het opstellen van klantprofielen of het verwerken van grote hoeveelheden persoonsgegevens);
  • wanneer de verwerking structureel en dus niet incidenteel is;
  • organisatie verwerkt gevoelige gegevens (zoals gegevens over gezondheid en strafrechtelijke gegevens).

Het komt maar zelden voor dat een organisatie geen verwerkingsregister hoeft bij te houden. Dit komt doordat bijna iedere organisatie structureel persoonsgegevens verwerkt. Als een organisatie personeels- of klantgegevens verwerkt, is dat immers al een structurele verwerking.

Het is belangrijk dat organisaties een verwerkingsregister bijhouden, want het register kan worden opgevraagd door de Autoriteit Persoonsgegevens. In dat geval moet er inzage worden gegeven in het register.

Wat staat er in een verwerkingsregister?

Zowel een verwerkingsverantwoordelijke als een verwerker moet een verwerkingsregister bijhouden. Wat er in het register staat is afhankelijk van de rol die een organisatie heeft.

Bij de verwerkingsverantwoordelijke bevat het verwerkingsregister de volgende informatie:

  • naam en contactgegevens van de verwerkingsverantwoordelijke, en van de functionaris gegevensbescherming (indien aanwezig)
  • verwerkingsdoeleinden
  • categorieën betrokkenen (bijvoorbeeld klanten, websitebezoekers en medewerkers)
  • categorieën persoonsgegevens (bijvoorbeeld NAW-gegevens, contactgegevens, financiële gegevens)
  • categorieën ontvangers (bijvoorbeeld ICT-dienstverleners)
  • informatie over eventuele doorgifte van persoonsgegevens naar een derde land
  • bewaartermijnen
  • beveiligingsmaatregelen

Bij de verwerker is het register georganiseerd per verwerkingsverantwoordelijke. Verwerkers nemen de volgende informatie op in het verwerkingsregister:

  • naam en contactgegevens van de verwerker en de verwerkingsverantwoordelijke, en de functionaris gegevensbescherming (indien aanwezig)
  • categorieën verwerkingen
  • informatie over eventuele doorgifte van persoonsgegevens naar een derde land
  • beveiligingsmaatregelen
Lees meerLees minder

Op welke manier kan ik een verwerkingsregister bijhouden?

In de AVG is niet vastgelegd op welke wijze organisaties een verwerkingsregister moeten bijhouden. Er zijn verschillende mogelijkheden:

  • Excel-sheet (ICTRecht stelt kosteloos een voorbeeld verwerkingsregister beschikbaar)
  • online tool via JuriBlox
  • online tool via Privacy Verified
ICTRECHT iconen okergeel 2022 RGB_Computer

Meer informatie ontvangen?

Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan contact met u op.

Wanneer u een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij u op locatie.

Laat uw gegevens achter