Datum: 3 december 2018
Laatst bijgewerkt: 11 maart 2020
Door: Geralde Bouw-Van de Bunt
Leeft een organisatie de privacyregels goed na? De kwaliteit van het verwerkingsregister blijkt hierin toonaangevend te zijn. Hoe ziet dat er dan uit? Daarover heeft de Autoriteit Persoonsgegevens (AP) zich voor het eerst uitgelaten.
De AP heeft voor het eerst concrete aanbevelingen gedaan met betrekking tot de Algemene Verordening Gegevensbescherming (AVG). Dit geeft inzicht in de wijze waarop de toezichthouder tegen de wetgeving aankijkt. De aanbevelingen zijn gericht op het verwerkingsregister. Volgens de AP is de kwaliteit van het register een “goede peilstok” om te achterhalen of en hoe een organisatie de nieuwe privacyregels naleeft.
Cumela heeft een model verwerkingsregister voor Cumela-leden opgesteld. Deze vind je hier. Wanneer je het model zo volledig mogelijk invult en aanvult, voldoe je daarmee ook aan de aanbevelingen van de AP.
De toezichthouder doet de volgende aanbevelingen naar aanleiding van een verkennend onderzoek naar verwerkingsregisters:
- Benoem hoe lang en met welk doel je persoonsgegevens wilt bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
- Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
- Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
- Geef duidelijk aan op welke locatie, of in welk bestand, persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
- Maak duidelijk welk doel, bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
