Autoriteit Persoonsgegevens geeft vijf aanbevelingen voor registers van verwerkingen
Het verwerkingsregister: wat is het?
Het verwerkingsregister is – kort gezegd – een register waarin ondernemingen of organisaties informatie over de persoonsgegevens die binnen de organisatie onder hun verantwoordelijkheid worden verwerkt, is opgenomen. De onderneming mag zelf weten hoe het register (mag digitaal, bij voorkeur zelfs) wordt opgesteld.
De regelgeving rondom een verwerkingsregister is vastgelegd in artikel 30 lid 1 van de Algemene Verordening Gegevensbescherming (AVG). Organisaties met meer dan 250 medewerkers zijn altijd verplicht een dergelijk register bij te houden. Organisaties met minder dan 250 medewerkers moeten over een verwerkingsregister beschikken wanneer:
– de verwerking van persoonsgegevens niet incidenteel is;
– de gegevens die u verwerkt een hoog risico inhouden voor de rechten en vrijheden van de betrokken personen;
– de gegevens vallen in de categorie bijzondere persoonsgegevens of gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten.
Vijf concrete aanbevelingen van de Autoriteit Persoonsgegevens
Het oneindig bewaren van persoonsgegevens zonder enige motivering mag niet volgens de Europese privacywetgeving. Daarom beveelt de Autoriteit Persoonsgegevens (AP) aan dat organisaties in hun register van verwerkingen benoemen hoe lang zij persoonsgegevens willen bewaren.
Op basis van het verkennend onderzoek naar de registers van verwerkingen is de AP op 28 november 2018 met vijf concrete aanbevelingen gekomen, deze zijn als volgt:
1. Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.