Door: Kees Mastwijk
Eerder hebben we op onze website aandacht besteed aan het nut en de noodzaak van een CMDB. In het licht van de AVG/GDPR is een soortgelijk overzicht of inventarisatie verplicht als uw organisatie verantwoordelijk is voor de verwerking van persoonsgegevens. Met andere woorden: je bent verantwoordelijke als jij het doel bepaalt voor de betreffende verwerking.
Register van verwerkingsactiviteiten
Binnen de AVG wordt dit overzicht een register van verwerkingsactiviteiten genoemd. Dit register is onderdeel van het zogenaamde ‘verantwoordingsprincipe’. Naleving van de AVG is een eigen verantwoordelijkheid, en de Autoriteit Persoonsgegevens kan u vragen naar de maatregelen die u heeft genomen. Het register van verwerkingsactiviteiten is een van de voorbeelden die u moet kunnen overhandigen.
Hoe ziet zo’n register er uit? Het goede nieuws is dat er geen strikte eisen zijn aan de opzet van het register. Wel zijn er eisen ten aanzien van de informatie die er in opgenomen moet zijn. Enkele voorbeelden hiervan zijn algemene informatie over de organisatie en contactpersonen en andere organisaties die als verwerker optreden.
Daarnaast is het voor elke verwerking belangrijk dat het doel is beschreven waarvoor de persoonsgegevens worden verwerkt. Hier kan ook worden verwezen naar de grondslag voor de verwerking: op basis waarvan mag/moet u de gegevens vastleggen? Een specificatie van de categorieën en types persoonsgegevens hoort daar bij, de bewaartermijnen en de ‘technische en organisatorische maatregelen’ die zijn getroffen om de gegevens goed te kunnen beschermen. Het opnemen van de locaties waar de persoonsgegevens zijn opgeslagen zou een goede aanvulling zijn op het register.
Rechten van betrokkenen
Het register is geen doel op zich. Een goed register van verwerkingsactiviteiten draagt ook bij aan het invullen van andere AVG eisen. Zoals de rechten van de personen waarvan u de persoonsgegevens vastlegt. Zij hebben recht om hun gegevens in te zien, te (laten) wijzigen, te laten verwijderen, en over te dragen naar een andere organisatie. Voldoen aan deze verzoeken (en deze zullen vroeg of laat komen) is een stuk makkelijker als u kunt terug vallen op een register.
Wij hebben een (gratis) template beschikbaar voor wie het wiel van het register niet opnieuw wil uitvinden. Wil je deze ontvangen? Stuur een mail naar gdpr@vest.nl met naam en (zakelijke) e-mailadres!