Het verwerkingsregister

DELEN IS LEUK:
Bewijslast

De verplichtingen om mee te werken aan verzoeken van betrokkenen en hen actief en correct te informeren zijn duidelijk. Daarbovenop geldt een bewijslast voor de verwerkingsverantwoordelijke om dat aan te tonen (artikel 30). De verwerkingsverantwoordelijke houdt daarom een register bij van de verwerkingsactiviteiten. Dit register bevat alle volgende informatie:

  • Naam en contactgegevens van de verwerkingsverantwoordelijke;
  • De verwerkingsdoeleinden;
  • Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • De categorieën van ontvangers, onder meer derde landen of internationale organisaties;
  • Indien van toepassing, doorgiften van persoonsgegevens aan een derde land of internationale organisaties, en de documentatie inzake waarborgen ingeval van afwezigheid van een adequaatheidsbesluit;
  • De beoogde termijnen waarop de verschillende categorieën van persoonsgegevens moeten worden gewist;
  • Een algemene beschrijving van technische en organisatorische beveiligingsmaatregelen van de verwerking.

Ook de verwerker houdt een register bij, met de volgende inhoud:

  • Naam en contactgegevens van de verwerker en iedere verwerkingsverantwoordelijke waarvoor verwerker handelt en, indien van toepassing, van de functionaris voor gegevensbescherming;
  • De categorieën van verwerkingen die zijn uitgevoerd;
  • Indien van toepassing doorgifte aan een derde land of internationale organisatie;
  • Een algemene beschrijving van technische en organisatorische beveiligingsmaatregelen van de verwerking.
Eisen aan het verwerkingsregister
  • Het register is in een schriftelijke of elektronische vorm. Een Excel spreadsheet voldoet.
  • Een algemene beschrijving van de technische en organisatorische maatregelen.
  • Desgevraagd stellen verwerkingsverantwoordelijke of verwerker het register ter beschikking aan de toezichthoudende autoriteit.
Uitzonderingen

Als een organisatie minder dan 250 personen in dienst heeft, dan is het bijhouden van een verwerkingsregister niet nodig, tenzij:

  • het waarschijnlijk is dat de verwerking een risico inhoudt voor de rechten en vrijheden van betrokkene,
  • de verwerking niet incidenteel is,
  • het bijzondere persoonsgegevens bevat, of
  • persoonsgegevens in verband met strafbare feiten en veroordelingen betreft.

Een huisartsenpraktijk met een 3 personeelsleden valt dus niet onder de uitzondering die in datzelfde artikel 30 wordt aangereikt. Het verwerken van bijzondere persoonsgegevens verhindert de toepassing ervan.

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *