Zo maak je een AVG verwerkingsregister

Als je persoonsgegevens verwerkt, moet je aantonen dat je dit doet volgens de privacywetgeving, ofwel AVG. Dit doe je onder meer door een verwerkingsregister te maken, waarin je aangeeft welke persoonsgegevens je gebruikt en waarom je deze gebruikt. Zo’n verwerkingsregister maken is makkelijker dan je misschien denkt. In dit artikel lees je wat een verwerkingsregister is en hoe je dit zelf maakt.

Onderstaande video legt uit hoe je een AVG verwerkingsregister maakt.

AVG: verwerkingsregister

De AVG-regels dwingen je om goed na te denken over hoe je bedrijf persoonsgegevens verwerkt en beschermt. Je hebt volgens de AVG namelijk een aantal verplichtingen als je met persoonsgegevens werkt. Zo moet je een privacyverklaring opstellen, de gegevens die je verzamelt goed beveiligen en een verwerkingsregister bijhouden. Deze laatste verplichting helpt je aan te tonen dat je aan de regels van de AVG voldoet, ook wel verantwoordingsplicht genoemd.

Wat is een verwerkingsregister?

In een verwerkingsregister noteer je algemene informatie over de soort persoonsgegevens die je verwerkt en waarom je dat doet. Een persoonsgegeven is een gegeven dat te herleiden is naar een individueel persoon, zoals een naam, geboortedatum of betaalgegevens.

Je noteert in je verwerkingsregister bijvoorbeeld dat je ‘klantgegevens’ verwerkt, zoals ’namen en adressen’. En je noteert dat je deze gegevens nodig hebt om pakketten te verzenden. De exacte persoonsgegevens die je verwerkt, zet je niet in het verwerkingsregister. Er staan dus geen namen en adressen van je klanten in je verwerkingsregister.

Je hoeft het verwerkingsregister niet openbaar te maken. Alleen wanneer de Autoriteit Persoonsgegevens (AP) er om vraagt, moet je het verwerkingsregister laten zien. Als je het verwerkingsregister niet hebt, of dit voldoet niet aan de vereisten, kan de AP je een boete geven. De hoogte van zo’n boete is afhankelijk van het type overtreding, maar kan hoog oplopen.

Aan de slag

Er is geen vaste vorm waarin je het verwerkingsregister moet maken. Je kunt bijvoorbeeld kiezen voor een overzicht in Excel of een van de tools die online te vinden zijn. Ook je brancheorganisatie kan je helpen bij het maken van het verwerkingsregister.

Begin met het in kaart brengen van alle bedrijfsprocessen waarbij je persoonsgegevens verwerkt. Dit noem je ook wel verwerkingsactiviteiten. Bijvoorbeeld:

  • verkopen online
  • verzenden van nieuwsbrief
  • loonadministratie

Vervolgens vul je per proces de verplichte onderdelen van het verwerkingsregister in.

Voorbeeld verwerkingsregister

Verwerkingsverantwoordelijke:

Alex Computershop
Alex van de Kamer
alex@computershop.nl - 06-12345678

Verwerkinggegevens van klanten

 Verkoop via webshopVerzenden nieuwsbrief
DoelLeveren van bestelling, nakomen
overeenkomst
Informeren over aanbiedingen
BetrokkenenKlantenKlanten
Soort gegevensNaam, adres, e-mailadres, 
telefoonnummer en betalingsgegevens
E-mailadres
OntvangersPostbedrijf, hostingprovider,
Payment Service Provider
Nieuwsbrief-
systeem
GrondslagUitvoering overeenkomstToestemming
Bewaar-
termijn
Fiscale 
bewaarplicht,
7 jaar
Tot
afmelding klant
Beveiligings-
maatregelen
Beveiligingssoftware,
SSL
Via beveiligde mailserver

Verwerkinggegevens van medewerkers en leveranciers

 Loon uitbetalen medewerkerInkoop
DoelLoon uitbetalen, administratieplicht Inkopen nieuw materiaal, onderhouden contact
BetrokkenenMedewerkersLeveranciers
Soort gegevensAdresgegevens, bankgegevens, BSN, kopie ID, gegevens arbeidsovereenkomstTelefoonnummer en e-mailadres
OntvangersLoonadministratie­kantoorn.v.t.
GrondslagUitvoering overeenkomst Uitvoering overeenkomst
Bewaar-
termijn
Fiscale 
bewaarplicht,
7 jaar
Fiscale bewaarplicht,
7 jaar
Beveiligings-
maatregelen
Via beveiligd loon-
uitbetalingssysteem
Multifactor Authenticatie

Aan dit voorbeeld kunnen geen rechten worden ontleend. Het dient uitsluitend ter illustratie en geeft geen compleet beeld.

Onderdelen AVG verwerkingsregister

Het verwerkingsregister kent een aantal verplichte onderdelen. Sommige onderdelen zijn alleen verplicht als die in jouw situatie van toepassing zijn. Als je bijvoorbeeld geen persoonsgegevens doorgeeft naar een ander land of internationale organisatie, dan hoef je dat niet in het register op te nemen.

Verplicht

Het verwerkingsregister moet in ieder geval de volgende punten bevatten:

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is degene die bepaalt welke persoonsgegevens je bedrijf voor welk doel verzamelt. Dit kun jij zelf als ondernemer zijn of bijvoorbeeld je besloten vennootschap.

Betrokkenen

Je beschrijft de groep personen van wie je gegevens verwerkt, zoals ‘klanten’ of ‘medewerkers’.

Soort persoonsgegevens

Vervolgens neem je in het register op welke soort persoonsgegevens je verwerkt. Bijvoorbeeld naam, adres en woonplaats, telefoonnummers of IP-adressen.

Doel van de verwerking

Je mag persoonsgegevens alleen gebruiken als je die nodig hebt voor een vooraf bepaald doel. Je hebt bijvoorbeeld de adresgegevens van een klant nodig om je pakket te versturen. Het doel van de verwerking noteer je in het verwerkingsregister. Je bepaalt het doel voordat je begint het met verwerken van de persoonsgegevens.

Ontvangers

In het verwerkingsregister beschrijf je wie de persoonsgegevens ontvangt. Verstuur je je bestellingen bijvoorbeeld via een pakketdienst? Dan is de postleverancier een ontvanger van de persoonsgegevens die jij hebt verzameld.

Let op: het gaat hier om een algemene omschrijving, de persoonsgegevens zelf zet je niet in het verwerkingsregister.

Verplicht in specifieke situatie

De volgende onderdelen moet je verplicht opnemen in het verwerkingsregister als deze van toepassing zijn op jouw situatie.

Beveiligingsmaatregelen

In het verwerkingsregister noteer je met welke organisatorische en technische maatregelen je de persoonsgegevens beveiligt. Een voorbeeld van een beveiligingsmaatregel is het instellen van multifactor authenticatie voor documenten of je laptop.

Bewaartermijnen

Sommige persoonsgegevens moet je wettelijk een aantal jaren bewaren. Financiële administratie bewaar je bijvoorbeeld 7 jaar voor de Belastingdienst. Zet deze termijnen in je verwerkingsregister. Als je gegevens verwerkt waarvoor geen wettelijke bewaartermijn geldt, bewaar de gegevens dan niet langer dan noodzakelijk. Noteer dan in je verwerkingsregister dat je de gegevens verwijdert zodra je ze niet meer nodig hebt.

Doorgifte naar een derde land of internationale organisatie

Het kan zijn dat de door jou verwerkte gegevens worden opgeslagen op een server die niet in het land staat waar jij je onderneming hebt. Bijvoorbeeld als je gebruikmaakt van bepaalde software voor het versturen van je nieuwsbrief of het doen en ontvangen van betalingen. Als je gebruikmaakt van dit soort software, neem je dat op in je verwerkingsregister.

Niet verplicht, wel verstandig

Als je persoonsgegevens verwerkt, moet je daarvoor een zogeheten juridische grondslag hebben. Een juridische grondslag is een goede reden om persoonsgegevens te verwerken. De grondslagen mag je niet zelf bedenken, ze staan in de wet. Een voorbeeld van een grondslag is ‘uitvoering van een overeenkomst’. Deze grondslag geldt bijvoorbeeld wanneer een klant een bestelling doet en je diens gegevens nodig hebt om de bestelling te bezorgen.

Zonder goede reden, mag je persoonsgegevens niet verwerken. Noteer daarom in het verwerkingsregister ook de grondslag bij elke verwerking, dus de reden waarom je persoonsgegevens verwerkt.

Let op: dit is wel een AVG-verplichting, maar geen verplichting voor het opstellen van het verwerkingsregister. Door het in het verwerkingsregister op te nemen, weet je ook zeker dat je aan deze AVG-verplichting voldoet.

Wanneer werk je aan het verwerkingsregister?

Zodra je persoonsgegevens verwerkt, stel je een verwerkingsregister op. Als je andere of nieuwe persoonsgegevens verwerkt, pas je het register aan. Bijvoorbeeld wanneer je een nieuw bedrijfsproces start, zoals het sturen van nieuwsbrieven. Zo houd je het verwerkingsregister actueel en blijf je voldoen aan de privacywetgeving.