Wanneer ben je verplicht om een verwerkingsregister bij te houden?
Wat is een verwerkingsregister
Een verwerkingsregister is de opslagplaats van alle verwerkingen van persoonsgegevens die binnen organisatie plaatsvinden. Het verwerken van persoonsgegevens vindt plaats doordat een organisatie persoonsgegevens opslaat, bewerkt of bijvoorbeeld verwijdert. Eigenlijk alle handelingen die je met persoonsgegevens kan uitvoeren zijn verwerkingen. Persoonsgegevens zijn gegevens die te herleiden zijn tot een individueel persoon of in een combinatie met andere gegevens te herleiden zijn tot een persoon.
Wanneer is een verwerkingsregister verplicht?
Als je organisatie meer dan 250 medewerkers heeft ben je verplicht om een verwerkingsregister bij te houden. Als je organisatie minder dan 250 medewerkers heeft ben je verplicht om een verwerkingsregster bij te houden als een van de volgende omstandigheden van toepassing is:
- De verwerking van persoonsgegevens is niet incidenteel.
- Er vindt verwerking van persoonsgegevens plaats die een hoog risico inhouden voor rechten en vrijheden van de betrokken personen.
- Er vindt verwerking van bijzondere persoonsgegevens plaats.
Wat staat er in een verwerkingsregister als je organisatie verwerkingsverantwoordelijke is?
In het verwerkingsregister moet een verwerkingsverantwoordelijke de volgende informatie opslaan over de verwerking:
- Naam en contactgegevens van: jouw organisatie of de vertegenwoordiger, andere organisaties die ook verwerkingsverantwoordelijke zijn, de functionaris gegevensbescherming, buitenlandse organisaties waar persoonsgegevens mee gedeeld worden.
- Doelen van de verwerking
- Categorieën van betrokkenen waarvan de gegevens worden verwerkt
- Categorieën van persoonsgegevens
- Bewaartermijnen
- Categorieën van ontvangers
- Of er gegevens buiten de EU worden gedeeld
- Omschrijving van beveiligingsmaatregelen
Wat staat er in een verwerkingsregister als je organisatie verwerker is?
Indien jouw organisatie de rol van verwerker vervult kan je ook verplicht zijn om een verwerkingsregister bij te houden, de inhoud van het register is alleen anders. Het registers bevat dan de volgende informatie:
- Naam en contactgegevens van: jouw organisatie, of de vertegenwoordiger, of de verwerkingsverantwoordelijk en de naam en contactgegevens van de functionaris gegevensbescherming.
- Omschrijving van de categorieën van verwerking
- Eventuele internationale doorgifte van bedrijven en organisaties waar de persoonsgegevens mee gedeeld worden
- Of er gegevens buiten de EU worden gedeeld
- Omschrijving van beveiligingsmaatregelen