De nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), is vanaf 25 mei 2018 van toepassing in de hele Europese Unie. Dit betekent dat u vanaf die datum aan de bepalingen in de AVG dient te voldoen. Gelet op de verplichtingen in de AVG en de stevige boetes die de Autoriteit Persoonsgegevens kan opleggen, is het voor u van groot belang acties en maatregelen te treffen zodat uw organisatie eind mei voldoet aan de AVG.

Download stappenplan AVG

Ter voorbereiding op de nieuwe privacywet, hebben wij voor u een stappenplan opgesteld. Als u dit stappenplan doorloopt, dan is uw organisatie straks klaar voor de AVG. Het stappenplan bestaat in totaal uit 10 stappen. De vorige keer behandelden we stap 4: stel een privacybeleid op. Dit keer komt stap 5 aan de orde: maak een register verwerkingen en register datalekken.

Download stappenplan AVG

Register verwerkingen

In aantal gevallen bent u verplicht een register van verwerkingsactiviteiten op te stellen. Of u een verwerkingsregister moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt.

Organisatie of onderneming met 250 of meer medewerkers
Heeft u 250 of meer medewerkers in dienst, dan dient u een register van de verwerkingsactiviteiten op te stellen.

Organisatie of onderneming met minder dan 250 medewerkers
Heeft u minder dan 250 medewerkers in dienst, dan hoeft u in principe geen verwerkingsregister op te stellen. Behalve als u persoonsgegevens verwerkt:

  • die een hoog risico inhouden voor de rechten en vrijheden van personen van wie u persoonsgegevens verwerkt; en/of
  • waarvan de verwerking niet incidenteel is; en/of
  • die vallen onder de categorie bijzondere persoonsgegevens, zoals godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

Ook als u niet verplicht bent een register van verwerkingsactiviteiten op te stellen, kan het verstandig zijn dit wel te doen. De AVG legt namelijk de verantwoordelijkheid bij u om aan te tonen dat u aan de privacyregels voldoet. Het opstellen van dit register biedt u ondersteuning bij het voldoen aan de verantwoordingsplicht.

Inhoud verwerkingsregister

De wet schrijft voor dat de volgende gegevens in het verwerkingsregister moeten worden opgenomen:

  • De naam en de contactgegevens van:
    • uw onderneming of de vertegenwoordiger van uw onderneming;
    • eventuele gezamenlijke verwerkingsverantwoordelijken;
    • de functionaris voor gegevensbescherming.
  • De verwerkingsdoeleinden.
  • Een beschrijving van de categorieën van betrokkenen van wie u gegevens verwerkt.
  • Een beschrijving van de categorieën van persoonsgegevens die u verwerkt.
  • De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt.
  • Deelt u gegevens met een derde land of een internationale organisatie, dan dient u dit aan te geven.
  • Indien mogelijk, de datum waarop u de persoonsgegevens moet wissen. 
    De AVG bepaalt dat persoonsgegevens niet langer bewaard mogen worden dan noodzakelijk is voor de doeleinden waarvoor het is verzameld. Een concrete bewaartermijn wordt in de AVG niet gegeven. In een aantal andere wetten, worden wel specifieke bewaartermijnen voorgeschreven. Een kopie van het ID bewijs van een werknemer bijvoorbeeld, dient de werkgever vijf jaar te waren na einde dienstverband.
    Ook bestaat er een aantal algemene richtlijnen. Zo mogen persoonsgegevens van sollicitanten in principe tot maximaal vier weken na het einde van de sollicitatieprocedure worden bewaard en de arbeidsovereenkomsten van werknemers mogen in principe tot maximaal twee jaar na het einde van het dienstverband worden bewaard.
  • Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.

Register datalekken

Er is sprake van een datalek op het moment dat er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Dat is onder andere het geval als iemand toegang krijgt tot persoonsgegevens of persoonsgegevens openbaar toegankelijk worden zonder dat dit de bedoeling is.

Als sprake is van een datalek, dient u dit zo spoedig mogelijk te melden aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. De melding dient zo mogelijk binnen 72 uur nadat u kennis heeft genomen van het datalek plaats te vinden. Mocht het niet mogelijk zijn om de melding binnen 72 uur te doen, dan dient u bij de melding aan te geven waarom de melding langer heeft geduurd.

Op het moment dat het datalek waarschijnlijk ook resulteert in een hoog risico voor de rechten en vrijheden van de betrokkene, dan dient u de betrokkene ook op de hoogte te stellen.

Naast het melden van een datalek, dient u een datalek ook te registreren. Het is van belang de volgende informatie per datalek op te nemen in het register:

  • de feiten en gegevens over de aard van het datalek;
  • de categorieën van de getroffen betrokkenen en persoonsgegevens en indien mogelijk het aantal betrokkenen;
  • de gevolgen van het datalek;
  • de genomen maatregelen om het datalek aan te pakken;
  • of het datalek is gemeld aan de Autoriteit Persoonsgegevens; en
  • of het datalek is gemeld aan de betrokkene(n).

Download het complete stappenplan AVG

Na deze stap volgen nog vijf stappen die in de volgende artikelen worden behandeld. Kunt en wilt u niet wachten tot de volgende stap online komt? Download dan alvast ons complete stappenplan.

Heeft u vragen over de AVG of wilt u graag dat wij u helpen bij de voorbereidingen op de AVG? Neem gerust contact met ons op.

Eerder verschenen stappen in het stappenplan AVG

________________________________

Begrippenlijst
In de tekst staan enkele begrippen cursief. Dit zijn begrippen die u wellicht nog niet kent. U vindt een toelichting van deze begrippen in het stappenplan AVG