Softwarepakketten.nl

Bijdrage van Bloggers (blogs)

Verplicht register voor verwerken van persoonsgegevens

Plaatsingsdatum 03-01-2017
Berichtdatum december 2016

Door De IT-Jurist

Zodra de Europese Privacyverordening (ook bekend als Algemene Verordening Gegevensbescherming / General Data Protection Regulation) in 2018 in werking treedt, wordt een register verplicht waarin organisaties (verantwoordelijken en bewerkers) de verwerkingen van persoonsgegevens moeten vastleggen. Hoe ziet die verplichting er precies uit?

Verplichtingen verantwoordelijke

Volgens de verordening moet elke verantwoordelijk en, indien van toepassing, de vertegenwoordiger van de verantwoordelijke, een register bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. In dit register moeten de volgende gegevens worden vastgelegd:

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;
  • indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
  • indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
  • indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.


Verplichtingen bewerker

De verwerker (die in de Wet bescherming persoonsgegevens nu nog bewerker heet) en, indien van toepassing, de vertegenwoordiger van de verwerker moet een register bijhouden van alle categorieën van verwerkingsactiviteiten, die hij ten behoeve van een verantwoordelijke heeft verricht. In dit register moeten de volgende gegevens worden vastgelegd:

  • de naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en van de functionaris voor gegevensbescherming;
  • de categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;
  • indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.

Register van de verwerkingsactiviteiten

Het register moet in schriftelijke vorm, waaronder in elektronische vorm, worden opgesteld. Het register moet beschikbaar kunnen worden gesteld aan de Autoriteit Persoonsgegevens, als deze daartoe verzoekt.

Uitzondering voor het MKB

Het register is niet verplicht voor organisaties, die minder dan 250 personen in dienst hebben, tenzij:

  • het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen;
  • de verwerking niet incidenteel is;
  • of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1 (bijvoorbeeld medische gegevens), of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft.

Of “de uitzondering op de uitzondering” van toepassing is, dient dus goed te worden beoordeeld.

Wilt u meer weten over dit onderwerp, neemt u dan vrijblijvend contact met ons op. 

Categorie(n) Branche > Accountantskantoren, ICT & Recht, Branche > Juridisch, Assuring (incl. certificeren en compliance)
Bronvermelding De IT-jurist B.V.
Internet URL https://www.it-jurist.nl

Terug

Gerelateerde berichten

Wie kan volgens de AVG als functionaris gegevensbescherming aangewezen worden? [21-08-2017]

Blockchain: uitleg over smart contracts [19-07-2017]

Mag een softwareleverancier testen met productie-data, in relatie tot de Wet Bescherming Persoonsgegevens [26-06-2017]

Meldplicht datalekken in de GDPR [26-01-2017]

De Europese Privacyverordening, de General Data Protection Regulation - GDPR, komt eraan [04-10-2016]


1 november 2017
ICT Accountancy Jaarcongres
Met als hoofdthema Blockchain (3 ervaren sprekers). Maar ook de waarde van Big data, overview IT-recht (met AVG), Cyber risico management, Realtime accounting, PSD2, Instant Payments, actuele ontwikkelingen en ICT Accountancy award.
Meer info en aanmelden...


CreAim

Informer software

KING

Timewriter

MUIS Software


Onerzoeksbureau GBNED