Het verwerkingsregister is een overzicht van welke persoonlijke gegevens je waarvoor gebruikt en hoe je daarmee om gaat. Ook vermeld je aan welke organisaties jij gegevens doorgeeft, en waarom. Iedere soort informatie en toepassing beschrijf je apart.
Je mag zelf bepalen in welke vorm je het giet: Word of Excel of iets anders. Als je het maar aan de Autoriteit Persoonsgegevens kunt laten zien als ze erom vragen.
Het overzicht is ook fijn voor jezelf: je wordt je bewust van wat je doet, en je weet ook meteen over welke dingen je iets moet vertellen in je privacyverklaring (waarover later meer).
Moet iedereen een verwerkingsregister maken?Bijna iedereen met een eigen bedrijf zal een verwerkingsregister moeten maken. Grote kans namelijk dat je bijvoorbeeld een nieuwsbrief stuurt aan je klanten en dat is ‘niet-incidentele verwerking’.
Als je meer dan 250 werknemers hebt is het verwerkingsregister verplicht, en een serieus verhaal. Daar waag ik me hier niet aan, want ik richt me op ZZP en MKB.
Als ZZP of MKB heb je minder werknemers en zijn de regels soepeler. Het register is echter verplicht als je niet-incidenteel verwerkt, of bijzondere gegevens verwerkt (bijvoorbeeld seksuele voorkeur, maar ook het BSN nummer), of als er een hoog risico is (bijvoorbeeld strafrechtelijke gegevens).
Misschien heb je niet te maken met bijzondere gegevens of een hoog risico. Maar waarschijnlijk heb je wel niet-incidentele verwerkingen: verwerkingen die met regelmaat voorkomen. Zoals het verzamelen van e-mailadressen voor je nieuwsbrief. En dan heb je dus ook een verwerkingsregister nodig.
De verordening maakt onderscheid tussen de (verwerkings)verantwoordelijke (jouw bedrijf) en de verwerker (bijvoorbeeld het administratiekantoor dat in jouw opdracht werkt en dat alleen met de gegevens mag doen wat jullie hebben afgesproken). De verantwoordelijke bepaalt wat er met de gegevens gebeurt, wat het doel is en welke middelen gebruikt worden om het doel te bereiken.
Als je het verwerkingsregister maakt, kom je dus ook meteen op het spoor van de andere partijen die iets doen met ‘jouw’ gegevens, zoals MailChimp, Google en je administratiekantoor, en met wie je een verwerkersovereenkomst af moet sluiten (waarover later meer).
Als je de onderstaande checklist aanhoudt, bevat je verwerkingsregister alles wat erin moet.
Het lijstje dat ik hierboven gaf in ‘Wat moet er in het verwerkingsregister staan?’ is hiervan een eenvoudiger versie.
De verwerkingsverantwoordelijke neemt in het register op:
De verwerker neemt in het register op:
Bedrijven en zelfstandigen moeten hun administratie 7 jaar bewaren. Er zijn ook gegevens die een bedrijf 10 jaar moet bewaren. Op de website van de Belastingdienst staat welke administratieve gegevens je moet bewaren en hoe lang. https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/btw/administratie_bijhouden/administratie_bewaren/
Voor patiëntendossiers gelden andere bepalingen, laat je daarover via de beroepsvereniging informeren.
Misschien vind je het fijn om mijn verwerkingsregister te bekijken. Als je ziet hoe het is ingevuld, snap je waarschijnlijk ook beter hoe je het zelf in kunt vullen. Ik heb een eenvoudig verwerkingsregiser in Word. Klik hier om het te bekijken.
De stappen die je als ZZP of MKB moet zetten om AVG proof te worden
Individuele marketing training en social media training voor mensen die zelf de marketing willen doen. Ook online en op maat.
We maken samen een marketing strategie en kiezen de middelen die passen. Ik ondersteun je bij de inrichting van de middelen (zoals social media accounts) en ik leer je hoe je die middelen gebruikt.
Ongeveer eens per maand een inspirerend artikel in je mailbox. Over authentiek communiceren, over handige social media hulpmiddelen, over marketing, over ondernemerschap of over kauwtjes...
website: Boleo | ontwerp: frank grafisch ontwerp | fotografie: Francis Frionnet en stockfoto's | illustraties: Loes Vork en Shrimpie
