Wat moet er in het Register staan?

De verwerkingsverantwoordelijke houdt een Register van de verwerkingsactiviteiten bij en dat moet specifieke gegevens bevatten (artikel 30.1 van de AVG)


Het Register kan ook aanvullende informatie bevatten die niet in de AVG is opgenomen.  De GBA raadt ondernemingen en organisaties ten zeerste aan dit Register te beschouwen als een intern ondersteuningsinstrument om hun verwerkingsactiviteiten in overeenstemming te brengen met alle verplichtingen die voortvloeien uit de AVG. Het kan alle aanvullende informatie bevatten die de verwerkingsverantwoordelijke en de verwerker nuttig achten te vermelden, bv. een verwijzing naar de wettelijke grond van de verwerking, het overzicht van alle inbreuken in verband met persoonsgegevens (art. 33.5 van de AVG) enz.

De inhoud van het Register van de verwerker verschilt in heel beperkte mate van dat van de verwerkingsverantwoordelijke (artikel 30.2 van de AVG).

Registreer de naam en de contactgegevens van de verwerkingsverantwoordelijke (en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke) en van de functionaris voor gegevensbescherming als u er een moet aanstellen of als u ervoor hebt gekozen er een aan te duiden. Stel tevens een lijst op van uw verwerkers.

Beschrijf de categorieën van betrokkenen en de categorieën van persoonsgegevens. Het kan in dat verband nuttig zijn de bijzondere categorieën van persoonsgegevens (art. 9 AVG) en de gerechtelijke persoonsgegevens (art. 10 GDPR) afzonderlijk te identificeren.

Identificeer de doeleinden waarvoor de gegevens worden verwerkt. De beschrijving van de doeleinden moet zo nauwkeurig mogelijk zijn. 

Vermeld de categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt (waaronder ontvangers in derde landen).

Voeg de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie toe, met vermelding van het land en de internationale organisatie, en in voorkomend geval (art. 49.1, tweede alinea) de passende waarborgen.

Vermeld voor de verschillende categorieën gegevens de bewaartermijn. De bewaartermijn hoeft niet noodzakelijk een duur in dagen, maanden of jaren te omvatten, maar kan ook betrekking hebben op de tijd die nodig is om een concreet project af te ronden.

Geef een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen, ingevoerd om een beveiligingsniveau te waarborgen dat in overeenstemming is met het risico.