Over het algemeen moet elke organisatie een register bijhouden van hun verwerkingsactiviteiten. Dit is een inventarisatie van alle verwerkingen en kan je helpen om correcte aannames te maken van jouw verantwoordelijkheden onder de AVG en de mogelijke risico’s.
Alle verwerkingen moet in het register worden beschreven met de volgende gegevens:

• het doel van de verwerking (bv. klantenloyaliteit);
• de categorieën van de verwerkte gegevens (bv. voor payroll: naam, voornaam, geboortedatum, salaris enz.);
• wie heeft toegang tot de gegevens (de ontvangers — bv.: de afdeling die verantwoordelijk is voor de werving, de IT-dienst, het management, dienstverleners, partners...);
• indien van toepassing, informatie met betrekking tot de doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER);
• waar mogelijk, de opslagperiode (de periode waarvoor de gegevens nuttig zijn vanuit operationeel oogpunt en vanuit archiveringsperspectief).
• waar mogelijk, een algemene beschrijving van de veiligheidsmaatregelen.

Het verwerkingsregister valt onder de verantwoordelijkheid van de manager van jouw organisatie.
Dit dossier moet op verzoek beschikbaar zijn voor de gegevensbeschermingsautoriteit van het EER-land waar je actief bent.

Organisaties die minder dan 250 personen in dienst hebben, zijn niet verplicht om louter incidentele activiteiten in hun register te vermelden (bv. gegevens die worden verwerkt voor eenmalige evenementen zoals de opening van een winkel).

Meer informatie:

• De regels naleven