Een verwerkingsregister klinkt zwaar, maar het is in de kern een overzicht van wat je met persoonsgegevens doet. Voor veel organisaties is het verplicht, en het is bovendien handig. Zo stel je er een op.
Wanneer is het verplicht?
De AVG verplicht een register bij structurele verwerkingen, bij bijzondere gegevens of bij verwerkingen met risico. In de praktijk doe je er als organisatie verstandig aan er gewoon een bij te houden.
Wat hoort erin?
Per verwerking noteer je het doel, de categorieën betrokkenen en gegevens, de ontvangers, de bewaartermijn en de beveiligingsmaatregelen. Verwerk je gegevens namens anderen, dan vermeld je dat ook.
Begin bij je privacyverklaring
Veel van deze informatie staat al in je privacyverklaring. Gebruik die als startpunt en werk het uit in een eenvoudige tabel of spreadsheet.
Houd het actueel
Een register is geen eenmalige klus. Komt er een nieuwe tool, nieuwsbrief of betaaldienst bij, vul het register dan aan. Zo blijft het kloppen en toon je dat je in control bent.
Welke velden zet je in je register?
| Veld | Voorbeeld |
|---|---|
| Doel | Nieuwsbrief versturen |
| Categorie betrokkenen | Abonnees |
| Categorie gegevens | E-mailadres, naam |
| Ontvangers | E-mailmarketingtool (verwerker) |
| Bewaartermijn | Tot uitschrijving |
| Beveiliging | Toegangsbeheer, 2FA |
Het helpt bij verzoeken en lekken
Een actueel register maakt het beantwoorden van een inzageverzoek en het beoordelen van een datalek veel sneller. Het is dus niet alleen een verplichting, maar ook een hulpmiddel.
Klaar om jouw privacy policy te maken?
Gebruik onze gratis generator en heb in 3 minuten een juridisch correcte privacy policy op maat.
Start de generator - gratis