Zo maak je een AVG verwerkingsregister
- KVK Redactie
- De basis
- 23 september 2022
- Bijgewerkt 9 januari 2024
- 4 min
- Wetten en regels
Als je persoonsgegevens verwerkt, moet je aantonen dat je dit doet volgens de privacywetgeving, ofwel AVG. Dit doe je onder meer door een verwerkingsregister te maken, waarin je aangeeft welke persoonsgegevens je gebruikt en waarom je deze gebruikt. Zo’n verwerkingsregister maken is makkelijker dan je misschien denkt. In dit artikel lees je wat een verwerkingsregister is en hoe je dit zelf maakt.
Klopt je registratie nog?
Je bedrijf ontwikkelt zich. Check in het Handelsregister of je gegevens nog kloppen. Zo voorkom je problemen.
Onderstaande video legt uit hoe je een AVG verwerkingsregister maakt.
AVG: verwerkingsregister
De AVG-regels dwingen je om goed na te denken over hoe je bedrijf persoonsgegevens verwerkt en beschermt. Je hebt volgens de AVG namelijk een aantal verplichtingen als je met persoonsgegevens werkt. Zo moet je een privacyverklaring opstellen, de gegevens die je verzamelt goed beveiligen en een verwerkingsregister bijhouden. Deze laatste verplichting helpt je aan te tonen dat je aan de regels van de AVG voldoet, ook wel verantwoordingsplicht genoemd.
Wat is een verwerkingsregister?
In een verwerkingsregister noteer je algemene informatie over de soort persoonsgegevens die je verwerkt en waarom je dat doet. Een persoonsgegeven is een gegeven dat te herleiden is naar een individueel persoon, zoals een naam, geboortedatum of betaalgegevens.
Je noteert in je verwerkingsregister bijvoorbeeld dat je ‘klantgegevens’ verwerkt, zoals ’namen en adressen’. En je noteert dat je deze gegevens nodig hebt om pakketten te verzenden. De exacte persoonsgegevens die je verwerkt, zet je niet in het verwerkingsregister. Er staan dus geen namen en adressen van je klanten in je verwerkingsregister.
Je hoeft het verwerkingsregister niet openbaar te maken. Alleen wanneer de Autoriteit Persoonsgegevens (AP) er om vraagt, moet je het verwerkingsregister laten zien. Als je het verwerkingsregister niet hebt, of dit voldoet niet aan de vereisten, kan de AP je een geven. De hoogte van zo’n boete is afhankelijk van het type overtreding, maar kan hoog oplopen.
Aan de slag
Er is geen vaste vorm waarin je het verwerkingsregister moet maken. Je kunt bijvoorbeeld kiezen voor een overzicht in Excel of een van de tools die online te vinden zijn. Ook je brancheorganisatie kan je helpen bij het maken van het verwerkingsregister.
Begin met het in kaart brengen van alle bedrijfsprocessen waarbij je persoonsgegevens verwerkt. Dit noem je ook wel verwerkingsactiviteiten. Bijvoorbeeld:
- verkopen online
- verzenden van nieuwsbrief
- loonadministratie
Vervolgens vul je per proces de verplichte onderdelen van het verwerkingsregister in.
Voorbeeld verwerkingsregister
Verwerkingsverantwoordelijke:
Alex Computershop
Alex van de Kamer
alex@computershop.nl - 06-12345678
Verwerkinggegevens van klanten
Verkoop via webshop | Verzenden nieuwsbrief | |
---|---|---|
Doel | Leveren van bestelling, nakomen overeenkomst | Informeren over aanbiedingen |
Betrokkenen | Klanten | Klanten |
Soort gegevens | Naam, adres, e-mailadres, telefoonnummer en betalingsgegevens | E-mailadres |
Ontvangers | Postbedrijf, hostingprovider, Payment Service Provider | Nieuwsbrief- systeem |
Grondslag | Uitvoering overeenkomst | Toestemming |
Bewaar- termijn | Fiscale bewaarplicht, 7 jaar | Tot afmelding klant |
Beveiligings- maatregelen | Beveiligingssoftware, SSL | Via beveiligde mailserver |
Verwerkinggegevens van medewerkers en leveranciers
Loon uitbetalen medewerker | Inkoop | |
---|---|---|
Doel | Loon uitbetalen, administratieplicht | Inkopen nieuw materiaal, onderhouden contact |
Betrokkenen | Medewerkers | Leveranciers |
Soort gegevens | Adresgegevens, bankgegevens, BSN, kopie ID, gegevens arbeidsovereenkomst | Telefoonnummer en e-mailadres |
Ontvangers | Loonadministratiekantoor | n.v.t. |
Grondslag | Uitvoering overeenkomst | Uitvoering overeenkomst |
Bewaar- termijn | Fiscale bewaarplicht, 7 jaar | Fiscale bewaarplicht, 7 jaar |
Beveiligings- maatregelen | Via beveiligd loon- uitbetalingssysteem | Multifactor Authenticatie |
Aan dit voorbeeld kunnen geen rechten worden ontleend. Het dient uitsluitend ter illustratie en geeft geen compleet beeld.
Onderdelen AVG verwerkingsregister
Het verwerkingsregister kent een aantal verplichte onderdelen. Sommige onderdelen zijn alleen verplicht als die in jouw situatie van toepassing zijn. Als je bijvoorbeeld geen persoonsgegevens doorgeeft naar een ander land of internationale organisatie, dan hoef je dat niet in het register op te nemen.
Verplicht
Het verwerkingsregister moet in ieder geval de volgende punten bevatten:
Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke is degene die bepaalt welke persoonsgegevens je bedrijf voor welk doel verzamelt. Dit kun jij zelf als ondernemer zijn of bijvoorbeeld je besloten vennootschap.
Betrokkenen
Je beschrijft de groep personen van wie je gegevens verwerkt, zoals ‘klanten’ of ‘medewerkers’.
Soort persoonsgegevens
Vervolgens neem je in het register op welke soort persoonsgegevens je verwerkt. Bijvoorbeeld naam, adres en woonplaats, telefoonnummers of IP-adressen.
Doel van de verwerking
Je mag persoonsgegevens alleen gebruiken als je die nodig hebt voor een vooraf bepaald doel. Je hebt bijvoorbeeld de adresgegevens van een klant nodig om je pakket te versturen. Het doel van de verwerking noteer je in het verwerkingsregister. Je bepaalt het doel voordat je begint het met verwerken van de persoonsgegevens.
Ontvangers
In het verwerkingsregister beschrijf je wie de persoonsgegevens ontvangt. Verstuur je je bestellingen bijvoorbeeld via een pakketdienst? Dan is de postleverancier een ontvanger van de persoonsgegevens die jij hebt verzameld.
Let op: het gaat hier om een algemene omschrijving, de persoonsgegevens zelf zet je niet in het verwerkingsregister.
Verplicht in specifieke situatie
De volgende onderdelen moet je verplicht opnemen in het verwerkingsregister als deze van toepassing zijn op jouw situatie.
Beveiligingsmaatregelen
In het verwerkingsregister noteer je met welke organisatorische en technische maatregelen je de persoonsgegevens beveiligt. Een voorbeeld van een beveiligingsmaatregel is het instellen van multifactor authenticatie voor documenten of je laptop.
Bewaartermijnen
Sommige persoonsgegevens moet je wettelijk een aantal jaren . Financiële administratie bewaar je bijvoorbeeld 7 jaar voor de Belastingdienst. Zet deze termijnen in je verwerkingsregister. Als je gegevens verwerkt waarvoor geen wettelijke bewaartermijn geldt, bewaar de gegevens dan niet langer dan noodzakelijk. Noteer dan in je verwerkingsregister dat je de gegevens verwijdert zodra je ze niet meer nodig hebt.
Doorgifte naar een derde land of internationale organisatie
Het kan zijn dat de door jou verwerkte gegevens worden opgeslagen op een server die niet in het land staat waar jij je onderneming hebt. Bijvoorbeeld als je gebruikmaakt van bepaalde software voor het versturen van je nieuwsbrief of het doen en ontvangen van betalingen. Als je gebruikmaakt van dit soort software, neem je dat op in je verwerkingsregister.
Niet verplicht, wel verstandig
Als je persoonsgegevens verwerkt, moet je daarvoor een zogeheten juridische hebben. Een juridische grondslag is een goede reden om persoonsgegevens te verwerken. De grondslagen mag je niet zelf bedenken, ze staan in de wet. Een voorbeeld van een grondslag is ‘uitvoering van een overeenkomst’. Deze grondslag geldt bijvoorbeeld wanneer een klant een bestelling doet en je diens gegevens nodig hebt om de bestelling te bezorgen.
Zonder goede reden, mag je persoonsgegevens niet verwerken. Noteer daarom in het verwerkingsregister ook de grondslag bij elke verwerking, dus de reden waarom je persoonsgegevens verwerkt.
Let op: dit is wel een AVG-verplichting, maar geen verplichting voor het opstellen van het verwerkingsregister. Door het in het verwerkingsregister op te nemen, weet je ook zeker dat je aan deze AVG-verplichting voldoet.
Wanneer werk je aan het verwerkingsregister?
Zodra je persoonsgegevens verwerkt, stel je een verwerkingsregister op. Als je andere of nieuwe persoonsgegevens verwerkt, pas je het register aan. Bijvoorbeeld wanneer je een nieuw bedrijfsproces start, zoals het sturen van nieuwsbrieven. Zo houd je het verwerkingsregister actueel en blijf je voldoen aan de privacywetgeving.