Op dit moment houdt de autoriteit persoonsgegevens (AP) een openbaar register bij van verwerkingen van persoonsgegevens. Niet alle verwerkingen hoeven bij de AP gemeld te worden. In het vrijstellingsbesluit van de WBP worden de uitzonderingen beschreven. Per 25 mei 2018 hoeft u uw verwerkingen van persoonsgegevens niet meer te melden aan de AP. U wordt geacht zelf een register verwerking persoonsgegevens bij te houden. Dit is niet voor iedereen verplicht.
Wanneer is een register verwerking persoonsgegevens verplicht?
U hoeft géén register van verwerkingen bij te houden, indien
- U minder dan 250 personen in dienst heeft;
Op bovenstaande voorwaarde gelden de volgende uitzonderingen. U bent wel verplicht een register bij te houden indien:
- Verwerking een risico inhoudt op de rechten en vrijheden van personen;
- Verwerking van persoonsgegevens niet incidenteel is;
- U persoonsgegevens van bijzondere aard verwerkt;
- U persoonsgegevens verwerkt die verband houden met strafrechtelijke veroordelingen en strafbare feiten.
“Het is niet grappig als boefjes het inkomen, vermogen en adressen van uw klanten kunnen achterhalen.”
Risico’s
Hier moet u denken aan wat de risico’s zijn, als de gegevens van de personen op straat komen liggen. Een combinatie van bijvoorbeeld BSN nummer en geboortedatum is ideaal voor digitale identiteitsfraude. Informatie over inkomen en vermogen kan ook als risicovol beschouwd worden. Het is niet grappig als boefjes het inkomen, vermogen en adressen van uw klanten kunnen achterhalen.
Niet incidenteel
Als u continu persoonsgegevens verzamelt, dan kan er een profiel van personen worden gemaakt. Hier kunt u bijvoorbeeld denken aan het verzamelen van het surfgedrag van consumenten of de gegevens die van personen worden verzameld op basis van social media gebruik.
Bijzondere aard
Persoonsgegevens van bijzondere aard zijn gegevens met betrekking tot:
- Ras of etnische afkomst;
- Politieke opvattingen;
- Religie;
- Lidmaatschap van een vakbond;
- Genetische of biometrische gegevens;
- Gezondheid;
- Seksueel gedrag/geaardheid.
Wat moet er in dit register worden vastgelegd
Het register verwerkingen persoonsgegevens geeft antwoord op de volgende vragen:
- Wie is verantwoordelijk en wie verwerkt persoonsgegevens;
- Wat verwerkt u, welke persoonsgegevens;
- Waarom worden de persoonsgegevens verwerkt, met welk doel;
- Welke grondslag is van toepassing voor de verwerking;
- Waar worden persoonsgegevens opgeslagen en verwerkt;
- Tot wanneer worden de persoonsgegevens bewaard;
- Hoe zijn de gegevens beveiligd.
Voorbeelden register van verwerkingen
Dit register moet u in schriftelijke vorm, waaronder elektronische vorm, vastleggen. Op de markt zijn gespecialiseerde software applicaties beschikbaar. Maar u kunt dit register ook in een document vastleggen. Ik heb een standaard format voor dit register gemaakt. Daarnaast ben ik voor-ingevulde registers aan het ontwerpen. U kunt hierbij denken aan een register voor personeelsadministratie, verzuim, etc. Heeft u interesse in een standaard of voor-ingevulde register, neemt u dan contact met mij op. Als privacy adviseur kan ik u uiteraard ook verder helpen uw organisatie privacy proof te maken. Het vastleggen van dit register is slechts een klein onderdeel van de nieuwe privacywet.
1 reactie. Plaats een nieuwe
Heb je voor mij een voorbeeld register (die te bewerken/aan te passen is)?