Typewriter

Het verwerkingsregister: van vloek naar zegen

Het verwerkingsregister kan een enorme troef blijken voor uw bedrijf

De GDPR verplicht onder meer tot het opstellen van schriftelijke documentatie en een overzicht van de procedures voor de verwerking van persoonsgegevens. Deze verplichting tot registratie van de verwerkingsactiviteiten, het zogenaamde ‘Register van verwerkingsactiviteiten’ wordt niet alleen opgelegd aan de voor de verwerking verantwoordelijke en zijn vertegenwoordiger, maar ook rechtstreeks aan de verwerker en zijn vertegenwoordigers. Het register van verwerkingsactiviteiten moet belangrijke informatie bevatten over gegevensverwerking, met inbegrip van gegevenscategorieën, de groep betrokkenen, het doel van de verwerking en de ontvangers van de gegevens. Voor veel bedrijven wordt deze verplichting gezien als een hinder en een extra administratieve last.

Zoals u waarschijnlijk al weet, is op 25 mei 2018 de algemene verordening inzake gegevensbescherming (GDPR) in werking getreden. Misschien weet u inmiddels ook wel dat deze EU-verordening er is en blijft.

De GDPR legt nieuwe regels vast over hoe gegevens moeten worden beschermd, hoe de verwerking van persoonsgegevens transparanter en dergelijke moet zijn. Vorige week nog heeft de Autoriteit Persoonsgegevens Uber een boete van 600.000 euro opgelegd voor het niet binnen een redelijke termijn melden van het lekken van hun persoonsgegevens.

Zet het in als troef

Het verwerkingsregister is niet alleen een vereiste of een verplichting. Het bijhouden van een correct en actueel register van verwerkingsactiviteiten heeft grote voordelen. Eén enkel register geeft u inzicht in de persoonlijke gegevens die u verwerkt, waar en aan wie  u de verwerking heeft uitbesteed en hoe uw verwerkingsketen eruit ziet. Hierdoor is het eenvoudig te achterhalen welke verwerkingsactiviteiten een hoger risico lopen en dus meer organisatorische of technische waarborgen nodig hebben. Het register maakt het voor u ook gemakkelijk om informatie te vinden als u vragen krijgt van uw klanten/medewerkers of andere personen van wie u gegevens verwerkt. Tot slot weet u met wie u contact moet opnemen in het onwaarschijnlijke geval van een data-incident.

Kortom, het is hét bewijs om uw geleverde effort rondom GDPR-compliance aan een auditor, of in geval van een rechtszaak, aan te kunnen tonen.

Heeft u vragen over het opzetten van een verwerkingsregister of over Privacy, GDPR, en ICT-recht in het algemeen? Neem contact met ons op. 👉