Ga terug

Template register van verwerkingen (AVG)

Posted on

Het startpunt voor naleving van de AVG en het werken met persoonsgegevens is het in kaart brengen van de soorten gegevens die binnen jouw organisatie worden gebruikt. Een dergelijk overzicht geeft direct aan of je serieus aan de slag moet met privacybescherming voor jouw bedrijf, of dat eenvoudige voorzorgsmaatregelen voldoende zijn. Dit overzicht wordt in de AVG het “register van verwerkingen” genoemd.

Voor organisaties met minder dan 250 medewerkers is dit register onder bepaalde voorwaarden verplicht, bijvoorbeeld als je veel gegevens verwerkt of bijzondere categorieën van persoonsgegevens verwerkt. Los van de wettelijke verplichting is het echter handig om zo’n overzicht te maken als basis voor een plan van aanpak voor de AVG. Enkele voorbeelden hiervan zijn:

  • Privacyverklaring: De AVG vereist dat je personen informeert van wie je informatie verwerkt. Voor het MKB maak ik meestal twee informatieberichten: een interne en een externe verklaring. De interne privacyverklaring wordt opgenomen in het personeelshandboek, terwijl de externe verklaring op de website van de organisatie wordt geplaatst.
  • Aanvullende maatregelen: Als de organisatie persoonsgegevens van meer dan 5000 personen verwerkt, vereist de AVG extra maatregelen. Dit brengt ook bijkomende verplichtingen met zich mee volgens de AVG. Hoewel de drempel voor grootschalige verwerking niet exact in de wet is vastgelegd, ligt deze in de praktijk doorgaans tussen de 5000 en 10.000 personen.
  • Aanvullende maatregelen voor bijzondere categorieën: Als blijkt dat je bijzondere categorieën van persoonsgegevens verwerkt, gelden er ook aanvullende eisen volgens de AVG.
  • De meeste MKB-bedrijven besteden belangrijke systemen voor persoonsgegevens uit, zoals personeels- en salarisadministratie, relatiebeheersystemen en dergelijke. Het register van verwerkingen legt deze uitbestedingen vast. Het voordeel van het uitbesteden van de beveiliging van deze systemen is dat dit een hoop werk scheelt voor de organisatie. Desalniettemin blijft de organisatie verantwoordelijk om bij de (cloud)leverancier te verifiëren dat hun systemen adequaat zijn beveiligd. De meeste bedrijven tonen dit aan met een ISO 27001-certificering.

Je kunt hier een sjabloon downloaden voor een eenvoudig register van verwerkingen.

Verwerkings register