AVG: adviezen voor beter verwerkingsregister

De Autoriteit Persoonsgegevens (AP) heeft een verkennend onderzoek gedaan naar de kwaliteit van de verwerkingsregisters binnen organisaties. Op basis daarvan heeft de instantie onlangs een aantal aanbevelingen gedaan.

7 december 2018 | Door redactie

Onder de Algemene verordening gegevensbescherming (AVG) moeten de meeste organisaties een register met verwerkingen van persoonsgegevens bijhouden. De AP besloot om de kwaliteit van dit verwerkingsregister (tool) bij dertig grote, private organisaties onder de loep te nemen. De instantie geeft aan dat de staat van het register een goede indicatie geeft van de wijze waarop een organisatie de AVG naleeft. Op basis van het onderzoek heeft de AP vijf aanbevelingen gedaan.

Doel per verwerking benoemen in register

De Autoriteit Persoonsgegevens adviseert organisaties voor hun verwerkingsregister het volgende:

  • Benoem hoelang en met welk doel uw organisatie persoonsgegevens wil bewaren. Het is niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. U moet kunnen motiveren waarom u deze gegevens verzamelt.
  • Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
  • Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
  • Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
  • Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.

AP controleert actief op aanwezigheid van FG

Het verwerkingsregister is niet het enige onderdeel van de AVG dat de AP actief controleert. De instantie heeft de afgelopen maanden ook een aantal sectoren gecontroleerd op de aanwezigheid van een functionaris voor de gegevensbescherming (FG) (tool). Onlangs waren de banken en verzekeraars aan de beurt. Niet elke organisatie had haar zaakjes op orde. Sommige organisaties hadden de contactgegevens van de FG niet op hun website gepubliceerd. Dat is wel de bedoeling. De organisaties krijgen de kans om dit te herstellen; er zijn hiervoor nog geen boetes uitgedeeld.