Register van de verwerkingsactiviteiten

Interne documentatie van de verwerkingsactiviteiten

De nieuwe Europese Verordening ("AVG") verplicht de verwerkingsverantwoordelijke (of zijn vertegenwoordiger) en ook de verwerkers om een interne documentatie bij te houden van de verwerkingsactiviteiten die onder hun verantwoordelijkheid werden verricht.

Met dit Register  hebben de verwerkingsverantwoordelijken en de verwerkers een overzicht van de persoonsgegevensverwerkingen die zij verrichten en kunnen zij deze identificeren. Dit register moet schriftelijk (elektronisch), helder en begrijpelijk zijn. 

Het Register moet specifieke informatie bevatten over iedere verrichte verwerking:

WIE ?

- Vul de naam en de contactgegevens in van de verwerkingsverantwoordelijke (en zijn wettelijke vertegenwoordiger) en van de functionaris voor gegevensbescherming als u er een moet aanstellen

- Stel een lijst op van de verwerkers

WAT?

- Identificeer de categorieën verwerkte gegevens en de categorieën betrokken personen. 
- Identificeer de zogenaamde gevoelige gegevens zoals de gezondheidsgegevens en gerechtelijke gegevens. 

 

WAAROM?

Identificeer de doeleinden waarvoor de gegevens worden ingezameld. Er moet een beschrijving gebeuren per doeleinde.  

WAAR?

- Vermeld de categorieën bestemmelingen (ook indien ze in derde landen gevestigd zijn) naar waar de gegevens worden overgedragen. 
- Vermeld de doorgiften aan een derde land of internationale organisatie en identificeer het land en in voorkomend geval  de bestaande passende waarborgen.

TOT WANNEER?

Vermeld voor iedere categorie gegevens de bewaartermijn. De bewaartermijn moet niet noodzakelijk uitgedrukt worden in aantal dagen, maanden of jaren maar mag ook verwijzen naar de tijd die noodzakelijk is om een concreet project te realiseren.

HOE?

Geef een algemene beschrijving van de ingevoerde technische en organisatorische beveiligingsmaatregelen die garanderen dat het beveiligingsniveau aan het risico is aangepast. 

Uitzondering?

Deze interne documentatieverplichting bevat een uitzondering voor ondernemingen met minder dan 250 werknemers. De draagwijdte van deze uitzondering is erg beperkt en daarom raadt de Privacycommissie toch aan dat alle verwerkingsverantwoordelijken en verwerkers een Register houden. 

Lees meer over deze uitzondering

Model voor het register

De Privacycommissie stelt een Model voor een verwerkingsregister ter beschikking. Dit Register is een "model" maar het is niet verplicht om het te gebruiken

Lees meer over het modelregister