Voldoen aan de AVG, stap 3 en 4: verwerkingsregister en beoordeling impact

De Algemene Verordening Gegevensbescherming (AVG) is een Europese regelgeving en vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. Met de AVG (GDPR) kent de Europese Unie één privacywet. Onderdeel van de AVG is je verantwoordingsplicht. Je moet namelijk kunnen aantonen dat je bedrijf in overeenstemming met de AVG werkt. Stap 3 en stap 4 om te voldoen aan de AVG gaan over deze verantwoordingsplicht.

Stap 3: Verwerkingsregister

De AVG verplicht organisaties om de verwerking van persoonsgegevens bij te houden in een register. Deze verplichting geldt voor vrijwel alle organisaties.

Verplicht gebruik register

Je bent verplicht om met een register te werken waarin je de verwerking van persoonsgegevens bijhoudt, als jouw organisatie:

  • persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor), of
  • risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, of
  • meer dan 250 medewerkers heeft.

In de praktijk zullen (vrijwel) alle organisaties verplicht zijn de verwerking van persoonsgegevens in een register bij te houden. Dit omdat binnen een organisatie klanten-, leveranciers- of personeelsbeheer altijd vaker voorkomt.

Inhoud register

In het verwerkingsregister neem je op welke persoonsgegevens je gebruikt, voor welk doel , waar je ze opslaat en met wie je ze eventueel deelt. Het register kun je schriftelijk of elektronisch bijhouden.

Als betrokken personen je vragen hun gegevens te corrigeren of te verwijderen kun je dit register hiervoor nodig hebben. Je moet deze verzoeken ook doorgeven aan de organisaties waarmee je de persoonsgegevens hebt gedeeld.

Stap 4: Beoordeling impact met DPIA

Bij het verwerken van gegevens met een hoog privacyrisico is een ‘data protection impact analyse’ (DPIA) verplicht. Met deze gegevensbeschermingseffectbeoordeling breng je de privacyrisico’s van de verwerking van gegevens in kaart. Blijkt uit de DPIA dat de privacyrisico’s hoog zijn, dan kun je maatregelen nemen om de risico’s te verkleinen.

Verplicht uitvoeren DPIA

Een DPIA moet je in ieder geval uitvoeren als je:

  • bijzondere persoonsgegevens als ras, godsdienst, gezondheid, politieke opvattingen, genetische – of biometrische gegevens op grote schaal verwerkt, of
  • op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied, bijvoorbeeld met cameratoezicht, of
  • gegevens zo combineert, dat iemand in een bepaalde categorie of groep is in te delen en daardoor zo kan worden benaderd of beoordeeld (profilering)

DPIA, 9 criteria voor toetsing

Er zijn 9 criteria om te toetsen of je een DPIA moet uitvoeren.

De Autoriteit Persoonsgegevens (AP) publiceert op termijn een lijst van gegevensverwerkingen waarvoor een DPIA verplicht is.


Voldoen aan de AVG, dit artikel beschrijft stap 3 en 4.

Meer over de AVG

Alles over de AVG

Stappen om te voldoen aan de AVG

Voldoen aan de AVG

Voldoen aan de AVG, stap 1 en 2: bewustwording en informeren

Voldoen aan de AVG, stap 5 en 6: inrichten en toezicht

Voldoen aan de AVG, stap 7 en 8: datalekken en verwerkersovereenkomst

Voldoen aan de AVG, stap 9 en 10: toezichthouder en toestemming vragen

InfoPage