Wanneer is een verwerkingsregister verplicht? Sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) zijn bedrijven verplicht om zich aan verschillende privacyreglementen te houden. In veel gevallen is het wel duidelijk waar een bedrijf aan dient te voldoen. Ieder bedrijf dient bijvoorbeeld over een privacyverklaring te beschikken, waarmee personen ingelicht worden over de verwerking van hun persoonsgegevens. Maar in sommige gevallen kan het een en ander onduidelijk zijn over de noodzaak van bepaalde privacyreglementen. Zo een onderwerp is vaak het verwerkingsregister. Wanneer je het verwerkingsregister nodig hebt of zelfs verplicht moet gebruiken is niet altijd helder.
Maar wat is het verwerkingsregister eigenlijk? En wanneer moet jij deze voor je bedrijf gebruiken? Lees vooral verder om te weten te komen wanneer het verwerkingsregister voor jouw bedrijf verplicht is.
Wat is een verwerkingsregister?
Wat is nu eigenlijk een verwerkingsregister? Een verwerkingsregister is een document waarin staat vastgelegd welke persoonsgegevens er worden verwerkt en welke bijkomstige informatie hierbij hoort. Dit kan bijvoorbeeld zijn de bewaartermijn, het doel van de gegevensverwerking, welke derde partijen deze verwerken, over er sprake is van bijzondere of gewone persoonsgegevens en wie de verwerkingsverantwoordelijke is.
Er komt dus nogal wat in te staan. De wijze waarop een verwerkingsregister wordt opgesteld is ook vormvrij. In veel gevallen zal een excelbestandje wel voldoen. Je kunt zelfs van de Autoriteit Persoonsgegevens een voorbeeld downloaden. Let er echter wel op dat dit slechts een voorbeeld is er kunnen, aan de hand van de branche waarin jij je bevindt, andere eisen gesteld worden. Bevind jij je in een medische branche? Dan zal je een veel uitgebreider verwerkingsregister moeten opstellen dan wanneer je enkel een webshop voor wollen sokken runt. In de meeste gevallen zullen bepaalde brancheorganisaties hier voorbeelden voor hebben, zodat jij niet in de wirwar van wetgeving hoeft te spitten opzoek naar de juiste categorieën om op te nemen.
Let overigens trouwens wel op dat je in het verwerkingsregister geen daadwerkelijke persoonsgegevens opneemt. De enige persoonsgegevens die hierin opgenomen mogen worden zijn die van de Functionaris Gegevensbescherming, waaronder contactgegeven en die van een derde partij die betrokken is bij de gegevensverwerking. Van klanten, patiënten, gasten en zelfs personeel dienen geen persoonsgegevens in het verwerkingsregister opgenomen te worden. Het gaat dus om een algemene beschrijving van de verwerkte persoonsgegevens en niet de persoonsgegevens zelf.
Wanneer is een verwerkingsregister verplicht?
Weet jij niet zeker of een verwerkingsregister verplicht is? Dan zijn hier een aantal vuistregels voor, deze kun je aanhouden om te bepalen of jij verplicht een verwerkingsregister nodig hebt.
De eerste vuistregel is het makkelijkst. Heb jij meer dan 250 personeelsleden? Dan ben je verplicht om een verwerkingsregister op te stellen. Dit is dus een eenvoudige graad waarbij je direct weet of een verwerkingsregister verplicht is of niet. Het wordt iets ingewikkelder wanneer je geen 250 personeelsleden hebt. Dan zijn er namelijk andere voorwaarden verbonden.
Deze voorwaarden zijn:
- Dat de verwerking van persoonsgegevens als ‘niet incidenteel’ beschouwt kunnen worden. Hiermee wordt ook wel bedoelt dat de persoonsgegevens dus structureel verwerkt worden, bijvoorbeeld de persoonsgegevens van de medewerkers die verwerkt worden of van klanten.
- De persoonsgegevens vallen on de ‘bijzondere persoonsgegevens’, zijnde:
- persoonsgegevens waaruit iemands ras of etnische afkomst blijkt;
- persoonsgegevens waaruit iemands politieke opvattingen blijken;
- persoonsgegevens waaruit iemands religieuze of levensbeschouwelijke overtuigingen blijken;
- persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt;
- gegevens over iemands gezondheid;
- gegevens over iemands seksueel gedrag of seksuele gerichtheid;
- genetische gegevens;
- biometrische gegevens (bedoeld voor de unieke identificatie van een persoon).
- Er worden persoonsgegevens verwerkt waarbij een hoog risico ontstaat voor de rechten en vrijheden van de personen van wie de persoonsgegevens verwerkt worden, denk bijvoorbeeld aan identificatiebewijzen of bankgegevens.
Je zult dus moeten nagaan of het opstellen van een verwerkingsregister ook voor jou verplicht is. Onthoud hierbij dat het altijd verplicht is boven de 250 medewerkers en daaronder de overige voorwaarden gelden.
Meer weten over producten of het privacyrecht?
Bij juristenblog publiceren we veel artikelen over allerlei onderwerpen. Van strafrecht tot privacyrecht het komt allemaal voorbij. Ook behandelen we het laatste (juridische) nieuws. Wil jij meer weten over het privacyrecht? Bezoek dan snel juristenblog.nl!
Wanneer is een verwerkingsregister verplicht? Sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) zijn bedrijven verplicht om zich aan verschillende privacyreglementen te houden. In veel gevallen is het wel duidelijk waar een bedrijf aan dient te voldoen. Ieder bedrijf dient bijvoorbeeld over een privacyverklaring te beschikken, waarmee personen ingelicht worden over de verwerking van hun persoonsgegevens. Maar in sommige gevallen kan het een en ander onduidelijk zijn over de noodzaak van bepaalde privacyreglementen. Zo een onderwerp is vaak het verwerkingsregister. Wanneer je het verwerkingsregister nodig hebt of zelfs verplicht moet gebruiken is niet altijd helder.
Maar wat is het verwerkingsregister eigenlijk? En wanneer moet jij deze voor je bedrijf gebruiken? Lees vooral verder om te weten te komen wanneer het verwerkingsregister voor jouw bedrijf verplicht is.
Wat is een verwerkingsregister?
Wat is nu eigenlijk een verwerkingsregister? Een verwerkingsregister is een document waarin staat vastgelegd welke persoonsgegevens er worden verwerkt en welke bijkomstige informatie hierbij hoort. Dit kan bijvoorbeeld zijn de bewaartermijn, het doel van de gegevensverwerking, welke derde partijen deze verwerken, over er sprake is van bijzondere of gewone persoonsgegevens en wie de verwerkingsverantwoordelijke is.
Er komt dus nogal wat in te staan. De wijze waarop een verwerkingsregister wordt opgesteld is ook vormvrij. In veel gevallen zal een excelbestandje wel voldoen. Je kunt zelfs van de Autoriteit Persoonsgegevens een voorbeeld downloaden. Let er echter wel op dat dit slechts een voorbeeld is er kunnen, aan de hand van de branche waarin jij je bevindt, andere eisen gesteld worden. Bevind jij je in een medische branche? Dan zal je een veel uitgebreider verwerkingsregister moeten opstellen dan wanneer je enkel een webshop voor wollen sokken runt. In de meeste gevallen zullen bepaalde brancheorganisaties hier voorbeelden voor hebben, zodat jij niet in de wirwar van wetgeving hoeft te spitten opzoek naar de juiste categorieën om op te nemen.
Let overigens trouwens wel op dat je in het verwerkingsregister geen daadwerkelijke persoonsgegevens opneemt. De enige persoonsgegevens die hierin opgenomen mogen worden zijn die van de Functionaris Gegevensbescherming, waaronder contactgegeven en die van een derde partij die betrokken is bij de gegevensverwerking. Van klanten, patiënten, gasten en zelfs personeel dienen geen persoonsgegevens in het verwerkingsregister opgenomen te worden. Het gaat dus om een algemene beschrijving van de verwerkte persoonsgegevens en niet de persoonsgegevens zelf.
Wanneer is een verwerkingsregister verplicht?
Weet jij niet zeker of een verwerkingsregister verplicht is? Dan zijn hier een aantal vuistregels voor, deze kun je aanhouden om te bepalen of jij verplicht een verwerkingsregister nodig hebt.
De eerste vuistregel is het makkelijkst. Heb jij meer dan 250 personeelsleden? Dan ben je verplicht om een verwerkingsregister op te stellen. Dit is dus een eenvoudige graad waarbij je direct weet of een verwerkingsregister verplicht is of niet. Het wordt iets ingewikkelder wanneer je geen 250 personeelsleden hebt. Dan zijn er namelijk andere voorwaarden verbonden.
Deze voorwaarden zijn:
- Dat de verwerking van persoonsgegevens als ‘niet incidenteel’ beschouwt kunnen worden. Hiermee wordt ook wel bedoelt dat de persoonsgegevens dus structureel verwerkt worden, bijvoorbeeld de persoonsgegevens van de medewerkers die verwerkt worden of van klanten.
- De persoonsgegevens vallen on de ‘bijzondere persoonsgegevens’, zijnde:
- persoonsgegevens waaruit iemands ras of etnische afkomst blijkt;
- persoonsgegevens waaruit iemands politieke opvattingen blijken;
- persoonsgegevens waaruit iemands religieuze of levensbeschouwelijke overtuigingen blijken;
- persoonsgegevens waaruit het lidmaatschap van een vakbond blijkt;
- gegevens over iemands gezondheid;
- gegevens over iemands seksueel gedrag of seksuele gerichtheid;
- genetische gegevens;
- biometrische gegevens (bedoeld voor de unieke identificatie van een persoon).
- Er worden persoonsgegevens verwerkt waarbij een hoog risico ontstaat voor de rechten en vrijheden van de personen van wie de persoonsgegevens verwerkt worden, denk bijvoorbeeld aan identificatiebewijzen of bankgegevens.
Je zult dus moeten nagaan of het opstellen van een verwerkingsregister ook voor jou verplicht is. Onthoud hierbij dat het altijd verplicht is boven de 250 medewerkers en daaronder de overige voorwaarden gelden.
Meer weten over producten of het privacyrecht?
Bij juristenblog publiceren we veel artikelen over allerlei onderwerpen. Van strafrecht tot privacyrecht het komt allemaal voorbij. Ook behandelen we het laatste (juridische) nieuws. Wil jij meer weten over het privacyrecht? Bezoek dan snel juristenblog.nl!
Over Juristenblog.nl
Het team van Juristenblog.nl bestaat uit ervaren juristen. Wekelijks wordt onderzoek gedaan naar interessante onderwerpen waarover geschreven kan worden. Vervolgens schrijft de jurist met de meeste kennis van het onderwerp de betreffende blog. Op deze manier blijft ons concept up-to-date en relevant.
Gerelateerde berichten
Schrijf je in & Blijf op de hoogte
Laat hieronder je e-mailadres achter en ontvang elke maandagochtend een overzicht van de meest recente berichten die op juristenblog.nl zijn verschenen.
We spammen niet. Je kunt je op ieder moment uitschrijven.