Sinds 6 november 2017 hoeven organisaties in de praktijk geen melding meer te doen aan de Autoriteit Persoonsgegevens als zij persoonsgegevens verwerken. Op 25 mei 2018 werd namelijk de Algemene verordening gegevensbescherming (AVG) van kracht en is de meldplicht vervallen.
Documentatieplicht
Nu gegevensverwerkingen niet meer gemeld hoeven worden bij de Autoriteit Persoonsgegevens, hebben organisaties conform artikel 30 AVG wel een documentatieplicht. Dit betekent dat het voor organisaties veelal verplicht is om een register van verwerkingsactiviteiten bij te houden.
Inhoud van het verwerkingsregister
Het verwerkingsregister moet onder meer de volgende gegevens bevatten:
- Naam en contactgegevens van de verwerkingsverantwoordelijke, (sub)verwerkers en de Functionaris voor de gegevensbescherming (FG).
- De verwerkingsdoeleinden.
- Beschrijving van de categorieën van betrokkenen en van persoonsgegevens.
- De categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt.
- Eventuele doorgifte aan derde landen of internationale organisaties.
- Beoogde termijnen waarbinnen de gegevens moeten worden gewist.
- Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
AVG compliance tools
Het verwerkingsregister kan worden bijgehouden in een spreadsheet, zoals Excel. Beter, duidelijk, flexibeler en overzichtelijker is het om een AVG compliance tool te gebruiken. Als het verwerkingsregister eenmaal is opgesteld, moet deze up-to-date worden gehouden. Hiervoor is het raadzaam om een eigenaar toe te kennen aan het register. Iemand die verantwoordelijk is voor het updaten van het register, maar ook voor het aanpassen van de gegevensstromen of procedures.