Het verwerkingsregister onder de Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming verplicht zorgorganisaties om een verwerkingsregister op te zetten. Dit is een interne administratie van alle verwerkingen van persoonsgegevens die je als organisatie uitvoert. Deze registerplicht is eigenlijk de opvolger van de huidige meldplicht onder de Wet bescherming persoonsgegevens. Belangrijke vraag is natuurlijk wat de verschillen zijn en hoe je een goed verwerkingsregister opzet. Power of 4 heeft een tool ontwikkeld, waarmee zorgorganisaties op praktische wijze hun verwerkingsregister kunnen vullen.

Verschillen

In het verwerkingsregister moet je vastleggen wat er in de zorgorganisatie met persoonsgegevens gebeurt. Dit gaat veel verder dan de huidige meldplicht. De meldplicht verplicht alleen tot een melding bij de Autoriteit Persoonsgegevens. De registerplicht verplicht tot het bijhouden van een intern register. Daarnaast verschilt de omvang van de verplichtingen. Bij de meldplicht hoef je geen ‘alledaagse verwerkingen’ te registeren, bij de registerplicht wel. Dat betekent dat in het verwerkingsregister straks alle verwerkingen moeten worden gedocumenteerd. Bovendien moet je ook niet dezelfde informatie bijhouden. Je kunt het bestaande meldplichtoverzicht dus niet zo maar overnemen. Het is sowieso de vraag of de meldingen onder de huidige meldplicht nog actueel zijn. In de praktijk hoeven organisaties al sinds 6 november 2017 geen meldingen meer te doen aan de Autoriteit Persoonsgegevens als zij persoonsgegevens verwerken.

Verplichte informatie

Het opstellen van het verwerkingsregister is dan ook een goed moment om nog eens kritisch naar het geheel te kijken. In het verwerkingsregister is de volgende informatie in ieder geval verplicht:

  • de naam en contactgegevens van je organisatie en van de functionaris voor gegevensbescherming.
  • de doelen waarvoor je de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van medewerkers, het verlenen van zorg of voor direct marketing.
  • een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld cliënten.
    • een beschrijving van de categorieën van persoonsgegevens, zoals het BSN, NAW-gegevens, telefoonnummers en camerabeelden.
  • de datum waarop je de gegevens moet wissen (als deze bekend is)
  • de categorieën van ontvangers aan wie je persoonsgegevens verstrekt.
  • een algemene beschrijving van de technische en organisatorische maatregelen die zijn genomen om persoonsgegevens die je verwerkt te beveiligen.

Opzetten verwerkingsregister

De specialisten van Power of 4 hebben een hulpmiddel ontwikkeld, waarmee je eenvoudig alle wettelijke verplichte informatie vastlegt. Hiermee kun je aantonen dat je organisatie aan de privacywetgeving voldoet. Dit register is zo gemaakt dat het ook geschikt is voor andere privacy compliance activiteiten.