De verwerkingsregisters die overheden verplicht moeten bijhouden op grond van de Algemene verordening gegevensbescherming, zijn slecht toegankelijk. Dit blijkt uit een onderzoek van Open State Foundation die deze registers bij alle Nederlandse ministeries, provincies en gemeenten opgevraagd heeft. Een op de vijf overheden publiceert deze registers, bijna tweederde van de registers is nog niet compleet en de registers zien er bij alle overheden anders uit.
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG legt de verantwoordelijkheid bij organisaties om aan te tonen dat zij aan de privacyregels voldoen. Een van de nieuwe verplichtingen die dat voor een organisaties met zich mee heeft gebracht is het bijhouden van een zogenaamd verwerkingsregister.
Is een verwerkingsregister verplicht?
Het opstellen van een register van verwerkingsactiviteiten (verwerkingsregister) is onder de Algemene verordening gegevensbescherming (AVG) vaak een verplichte maatregel. Of een organisatie een verwerkingsregister moet opstellen, hangt af van de omvang van de organisatie en het type gegevens dat de organisatie verwerkt.
Organisaties met meer dan 250 medewerkers zijn altijd verplicht om een verwerkingsregister bij te houden. Voor organisaties met minder dan 250 medewerkers ligt dat anders. Deze organisaties moeten alleen over een verwerkingsregister beschikken als een of meer van de volgende situaties van toepassing is:
· De verwerking van persoonsgegevens is niet incidenteel. In de praktijk zijn verwerkingen echter zelden incidenteel. Bijna alle organisaties verwerken immers persoonsgegevens van medewerkers, klanten, cliënten, leden, patiënten of inwoners.
· De verwerking van persoonsgegevens houdt een hoog risico in voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.
· De organisatie verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens. Dit is bijvoorbeeld het geval indien gevoelige persoonsgegevens worden verwerkt, zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.
Bovenstaande voorwaarden komen er in de praktijk op neer dat bijna iedere organisatie verplicht is om een verwerkingsregister bij te houden.
Wat moet er in het verwerkingsregister staan?
Het (verwerkingsregister bevat informatie over de persoonsgegevens die een organisatie verwerkt. De organisatie mag zelf weten hoe het register wordt opgesteld. Wel schrijft de AVG voor welke informatie een organisatie als verantwoordelijke of verwerker in het verwerkingsregister moet zetten.
De organisatie is verwerkingsverantwoordelijke
In de organisatie degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze, dan is die organisatie de verantwoordelijke. Elke verantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:
· de naam en de contactgegevens van de organisatie en, in voorkomend geval, van de functionaris voor gegevensbescherming;
· de doeleinden van de verwerking;
· een beschrijving van de categorieën van betrokkenen (degenen van wiens persoonsgegevens worden verwerkt) en van de categorieën van persoonsgegevens (bijvoorbeeld NAW-gegevens, BSN, financiële gegevens, e-mailadressen);
· de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in landen buiten de EER, internationale organisaties of bewerkers;
· doorgiften van persoonsgegevens aan een land buiten de EER of een internationale organisatie, met inbegrip van de vermelding van dat land of die internationale organisatie;
· de termijnen waarbinnen de verschillende categorieën van gegevens worden gewist;
· een beschrijving van de technische en organisatorische beveiligingsmaatregelen.
De organisatie is een verwerker
De verwerker is degene die in opdracht en ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, denk bijvoorbeeld aan een administratiekantoor of een hostingprovider. De verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:
· de naam en de contactgegevens van de bewerker en van iedere verantwoordelijke voor rekening waarvan de bewerker handelt en de functionaris voor gegevensbescherming;
· de categorieën van verwerkingen die voor rekening van iedere verantwoordelijke zijn uitgevoerd;
· doorgiften van persoonsgegevens aan een land buiten de EER of een internationale organisatie, met inbegrip van de vermelding van dat land of die internationale organisatie;
· een beschrijving van de getroffen technische en organisatorische beveiligingsmaatregelen.
Omdat een verwerker doorgaans ook gegevens verwerkt van klanten, leveranciers, werknemers etc., moeten zij twee verschillende verwerkingsregisters bijhouden.
Het register kan worden opgevraagd door de Autoriteit Persoonsgegevens. Elke organisatie is verplicht medewerking te verlenen aan de toezichthoudende autoriteit en dit register desgevraagd te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten.