AVG-voorlichting deel 9: De papierwinkel van de AVG

Als onderdeel van de accountability moeten organisaties een ‘register van verwerkingsactiviteiten’ bijhouden. Dit geldt niet alleen voor verantwoordelijken, maar ook voor verwerkers. In dit register moet je bijvoorbeeld bijhouden welke gegevens je voor marketingdoeleinden verwerkt, of voor welke klanten je een campagne uitvoert.

Wat staat er in de wet over het register?

Zowel de verantwoordelijke (bv een adverteerder) als de verwerker moeten een register bijhouden. De verantwoordelijke moet het volgende bijhouden:

• Eigen contactgegevens, en eventueel contactgegevens van de Functionaris Gegevensbescherming (FG);
• Doeleinden van de verwerking;
• Categorieën van betrokkenen;
• Categorieën van ontvangers;
• Eventueel doorgifte naar buiten de EU (zo ja, welke land en onder welke waarborgen); en,
• Bewaartermijn van de persoonsgegevens.

De oplettende lezer ziet dat dit lijstje lijkt op de oude melding die verantwoordelijken moesten doen onder de huidige privacywetgeving bij de Autoriteit Persoonsgegevens (AP). Die melding staat niet meer in de AVG, maar organisaties moeten zelf die informatie bijhouden. De AP controleert overigens ook niet meer op die oude meldingen.

De verwerker (bv een ESP of callcenter) heeft onder de AVG een ander lijstje. Zij moet het volgende bijhouden:

• Eigen contactgegevens en contactgegevens van verantwoordelijke waarvoor zij werkt;
• Eventueel contactgegevens van de FG;
• Categorieën van verwerkingen voor iedere verantwoordelijke (bijvoorbeeld het verzenden van een e-mail campagne, of het personaliseren van een website);
• Eventueel doorgifte naar buiten de EU (zo ja, welke land en onder welke waarborgen); en,
• Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Verwerkers hoeven onder de Wbp geen melding te doen bij de toezichthouder en voor die organisaties is deze administratieplicht dus nieuw. Hoewel in de praktijk veel organisaties al een soortgelijk documentatie management systeem in werking zullen hebben.

Extra onderdelen

De verantwoordingsplicht is breder dan alleen het register. Verantwoordelijke partijen moeten in feite kunnen aantonen dat zij aan de AVG voldoen. Daarom is dit register een handige plek om meer onderdelen bij te houden dan alleen de wettelijk verplichte onderdelen. Als verantwoordelijke moet je bijvoorbeeld kunnen aantonen dat je een rechtmatige grondslag hebt voor de verwerking van persoonsgegevens. En als verwerker moet je bijvoorbeeld  je subverwerkers in kaart hebben en daar een subverwerkersovereenkomst mee afsluiten. In het DDMA voorbeeld hebben we daarom een aantal extra onderdelen opgenomen.

Vorm register

Er zijn geen wettelijke eisen gesteld aan hoe je dit register inricht. Dus of je deze informatie bijhoudt in een Excel, of vastlegt in je DMP, voor de AVG maakt het niet uit. Zolang je de informatie maar goed bijhoudt en eventueel aan de toezichthouder kan laten zien als zij daarom vragen.

Speciaal voor leden: voorbeeld verwerkingenregister

Om onze leden op weg te helpen hebben wij in een document in onze AVG-voorlichting een voorbeeldregister gemaakt, in de vorm van een Excel-sheet. Hierin staan de wettelijk vereiste onderdelen die in het register moeten staan – en nog een paar extra onderdelen.

Bekijk hieronder onze hele AVG-voorlichtingsserie:

• Deel 1: Meldplicht datalekken
• Deel 2: Persoonsgegevens, de basics
• Deel 3: DPO & Privacy-by-design
• Deel 4: Verwerkersovereenkomst
• Deel 5: Rechten van betrokkenen
• Deel 6: Boetes en handhaving
• Deel 7: Toestemming
• Deel 8: Privacy Impact Assessment
• Deel 9: Administratieplicht
• Deel 10: Profilering