• Skip to primary navigation
  • Skip to content
  • Skip to primary sidebar
  • Skip to footer

iTRACTION

Outsourcing - systems and people

  • Home
  • Consultancy & 2nd Opinion
  • Security & Compliance
  • Blog
  • Over ons
  • Videos
  • Contact

GDPR en artikel 30: het Verwerkingsregister

Beveiliging, Dutch, GDPR · 12/06/2019

De nieuwe Europese GDPR, General Data Protection Regulation bij ons de AVG geheten, spreekt in artikel 30 over ‘Record of processing activities’ ook wel bekend als een ‘Verwerkingsregister’ of kortweg VR. Is een VR altijd verplicht, ook voor kleine bedrijven? Waar moet je op letten bij het opstellen van het verwerkingsregister? En wat moet er in ieder geval in staan?

 

Wie moet een Verwerkingsregister  opstellen?

De GDPR maakt een onderscheid tussen een controller (degene verantwoordelijk voor de verwerking van persoonsgegevens) en een processor (de verwerker er van). Beiden moeten een verwerkingsregister opstellen.

Waarom een Verwerkingsregister?

Het VR is het basisdocument waarmee bedrijven voor de AVG aantonen dat ze zorgvuldig omgaan met persoonsgegevens. Zie het als een boekhouding maar dan voor persoonlijke data. Net zoals bedrijven de wettelijke plicht hebben een gedegen financiële administratie te voeren is er met de AVG/GDPR nu de wettelijke plicht om een gedegen (persoonlijke) data administratie te voeren. De essentie is dat bedrijven met het verwerkingsregister feitelijk gedwongen worden in detail te begrijpen wat ze aan (persoonlijke) data opslaan en waar, in welke systemen.

Ben ik als klein bedrijf ook verplicht een Verwerkingsregister op te stellen?

Een VR is een basis-eis. Sommigen denken dat dit alleen geldt voor organisaties met meer dan 250 medewerkers maar dat is niet het geval. Een  Verwerkingsregister is verplicht voor alle organisaties, groot of klein en ook voor zzp’ers. Alleen als de verwerkingen van persoonsgegevens incidenteel is, is een VR niet nodig. In de praktijk zijn verwerkingen vrijwel altijd structureel en niet incidenteel en heb je dus altijd de plicht een verwerkingsregister te hebben en te onderhouden.

Wat moet er in het Verwerkingsregister staan?

Dat verschilt of je in de rol van verwerkingsverantwoordelijke bent of als verwerker:

Verwerkingsverantwoordelijke

a) Naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
b) de verwerkingsdoeleinden;
c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.

Verwerker

2. De verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:
a) de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;
b) de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
c) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
d) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.

 

Benieuwd of jullie verwerkingsregister voldoet? Of heb je nog helemaal geen verwerkingsregister en wil je een Excel template als voorbeeld hebben? Zou je baat kunnen hebben bij een second opinion, een quick scan / quick audit?  Klik dan hier.

Filed Under: Beveiliging, Dutch, GDPR

Previous Post: « Hoe herken je een cloudleverancier die beveiliging serieus neemt?

Primary Sidebar

Ons adres:

Vestiging Almere
Transistorstraat 58A
1322 CG Almere
Tel. 036 5367 888

BLOG

GDPR en artikel 30: het Verwerkingsregister

De nieuwe Europese GDPR, General Data Protection Regulation bij ons de AVG geheten, spreekt in artikel 30 over ‘Record of processing activities’ ook wel bekend als een ‘Verwerkingsregister’ of kortweg VR. Is een VR altijd verplicht, ook voor kleine bedrijven? Waar moet je op letten bij het opstellen van het verwerkingsregister? En wat moet er [Meer…]

Hoe herken je een cloudleverancier die beveiliging serieus neemt?

Beveiliging en de cloud gaan hand in hand, daar zal iedereen het mee eens zijn. Toch zien we elke dag dat de praktijk weerbarstig is. Want hoe herken je nou een cloudleverancier die beveiliging echt serieus neemt? Waar moet je allemaal op letten? En hoe kan een organisatie een cloudleverancier selecteren die de beveiliging van persoonsgegevens serieus [Meer…]

7 Belangrijke Aspecten van Security by Design en Security by Default in de GDPR

De nieuwe Europese GDPR, General Data Protection Regulation bij ons ook wel de AVG geheten, spreekt in artikel 25 over Security by Design en Security by Default. Klinkt goed maar wat is eigenlijk het verschil? En hoeveel impact gaan deze eisen hebben op bedrijven en directies als ze op 25 mei aanstaande samen met de GDPR [Meer…]

Footer

Volg ons

  • Email
  • Facebook
  • LinkedIn
  • Twitter
  • YouTube

Meer info

  • Blog
  • Contact
  • WERKEN BIJ iTRACTION
  • Privacyverklaring
(c) 2017 | iTRACTION BV