Autoriteit Persoonsgegevens doet aanbevelingen voor registers van verwerkingen

Het oneindig bewaren van persoonsgegevens zonder enige motivering mag niet volgens de Europese privacywetgeving. Daarom beveelt de Autoriteit Persoonsgegevens (AP) aan dat organisaties in hun register van verwerkingen benoemen hoe lang zij persoonsgegevens willen bewaren.

Dit is één van de vijf concrete aanbevelingen die de AP doet na een verkennend onderzoek onder dertig grote organisaties uit tien private sectoren. Het verkennend onderzoek heeft de AP een beeld gegeven van hoe het staat met de kwaliteit van de registers van verwerkingen.

Vijf concrete aanbevelingen

Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met vijf concrete aanbevelingen:

1. Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.

Verwerkingsregister

Het opstellen van een register van verwerkingsactiviteiten (verwerkingsregister) is onder de AVG vaak een verplichte maatregel. Of u zo’n register moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt. In het verwerkingsregister staat informatie over de persoonsgegevens die u verwerkt. Organisaties met meer dan 250 medewerkers zijn verplicht om een verwerkingsregister bij te houden. Als een organisatie minder dan 250 medewerkers heeft, dan moet deze over een verwerkingsregister beschikken als een of meer van de volgende situaties van toepassing zijn:

• De verwerking van persoonsgegevens is niet incidenteel. In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners.
• U verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.
• U verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens, zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

Neem contact op

Heeft u als ondernemer vragen over het verwerkingsregister, de Autoriteit Persoonsgegevens, of over de Algemene verordening gegevensbescherming (AVG)? Dan bent u bij Fruytier Lawyers in Business aan het goede adres. Lees hier meer over de AVG of neem direct contact op met een van onze specialisten.