Wat de registratieplicht inhoudt
Op grond van de AVG is het in beginsel verplicht om een register bij te houden van alle verwerkingsactiviteiten die onder uw verantwoordelijkheid plaatsvinden. Dit heeft tot doel om aan te kunnen tonen dat u aan de AVG voldoet. In het verwerkingsregister moeten de volgende gegevens worden opgenomen:

1. De naam en contactgegevens van verantwoordelijke (of diens vertegenwoordiger,
wanneer de verantwoordelijke buiten de EER is gevestigd), en van de functionaris voor gegevensbescherming (indien aanwezig);
2. De doeleinden waarvoor gegevens worden verwerkt;
3. De categorieën persoonsgegevens (zoals NAW-gegevens, contactgegevens, betaalgegevens);
4. De categorieën betrokkenen (bijvoorbeeld: klanten, websitebezoekers, werknemers);
5. De categorieën ontvangers (aan wie worden de gegevens verstrekt?);
6. Informatie over eventuele doorgifte van gegevens naar landen buiten de EER;
7. De bewaartermijnen van de gegevens;
8. De manieren waarop gegevens zijn beveiligd (bijvoorbeeld: encryptie, logische toegangscontrole, pseudonimisering).

Maakt u gebruik van een verwerker, dan zal ook deze partij een register moeten bijhouden. Het register van de verwerker heeft dan betrekking op de verwerkingen die hij onder uw verantwoordelijkheid uitvoert. Verwerkers registreren:
1. De naam en contactgegevens van de verwerker en de verantwoordelijke (of hun
vertegenwoordigers) en (indien aanwezig) de functionaris voor gegevensbescherming;
2. De categorieën verwerkingen (dit komt overeen met de doeleinden uit het register van de verantwoordelijke);
3. Informatie over eventueel doorgifte van gegevens naar landen buiten de EER;
4. De manieren waarop gegevens zijn beveiligd.

Uitzonderingen op de registratieplicht
Het bijhouden van een register voor de verwerkingsactiviteiten is niet in alle gevallen verplicht. Ondernemingen of organisaties die minder dan 250 personen in dienst hebben hoeven hieraan niet te voldoen. In wezen is dit een mkb uitzondering, maar de meeste mkb’ers zullen waarschijnlijk toch weinig profijt gaan hebben van deze uitzondering. In drie gevallen kan men namelijk toch geen beroep doen op de hiervoor aangehaalde uitzondering:

1. U voert risicovolle verwerkingen uit;
2. U verwerkt bijzondere of strafrechtelijke persoonsgegevens;
3. U verwerkt persoonsgegevens op structurele basis.

Het eerste punt hierboven zal voor de gemiddelde mkb’er niet aan de orde zal zijn. Voor het mkb zullen de punten 2 en 3 het meest van belang zijn. In het kader van de personeels- en loonadministratie worden in de meeste gevallen bijzondere persoonsgegevens verwerkt. Ten aanzien van punt 3 is de vraag natuurlijk wanneer een verwerking als incidenteel dan wel structureel moet worden beschouwd. Helaas is dat bij het verschijnen van dit deel nog niet duidelijk. Wel achten we de kans zeer groot dat bij de meeste mkb’ers verwerkingen van structurele aard voorkomen. Een klant- en leveranciersadministratie en een personeels- en loonadministratie hebben immers niet bepaald een incidenteel karakter. Verwerkingen hierbinnen vinden continu plaats. De in de AVG opgenomen uitzondering voor het mkb op de registratieplicht heeft dus waarschijnlijk in de praktijk nauwelijks waarde.

Hoe te voldoen aan de registratieplicht
Om aan de AVG te voldoen, adviseren wij u om al uw verwerkingsactiviteiten te registreren. Hieronder treft u een voorbeeld van een verwerkingsregister aan. U zult er uiteraard ook voor moeten zorgen dat het register actueel wordt gehouden. Dat betekent dat u ook wijzigingen moet bijhouden. Komt er een verwerking bij, vul het register dan aan. Valt er een verwerking af, verwijder deze dan weer, etc. U doet er verstandig aan na iedere wijziging het register onder een nieuwe naam op te slaan of om een nieuw (gedateerd) exemplaar uit te printen. Het is verstandig om binnen uw bedrijf een procedure in het leven te roepen voor het actueel houden van het register.

> Download het register voor verwerkingsactiviteiten (excel)