Veelgestelde vragen AVG - Verwerkingsregister

Een verwerkingsregister is een gedetailleerd overzicht waarin een organisatie alle verwerkingen van persoonsgegevens bijhoudt. Dit register is een essentieel onderdeel van goed privacy management en helpt organisaties aantonen dat ze voldoen aan de verplichtingen van de AVG. Het register is vorm vrij, maar moet volgens artikel 30 AVG de volgende informatie bevatten:

• De contactgegevens van de organisatie en, indien aangesteld, de contactgegevens van de functionaris voor gegevensbescherming (FG);
• De doeleinden van de verwerking en de bijbehorende grondslagen;
• De categorieën betrokkenen (zoals klanten of werknemers) en de soorten persoonsgegevens (zoals NAW-gegevens, e-mailadressen en IP-adressen);
• De categorieën ontvangers aan wie de persoonsgegevens worden doorgegeven (bijvoorbeeld IT-dienstverleners of salarisadministrateurs);
• Informatie over eventuele doorgiften aan derde landen;
• De beoogde bewaartermijnen, indien bekend;
• Een beschrijving van de genomen beveiligingsmaatregelen.

Nee. Het verwerkingsregister is een intern register. Wel kan de Autoriteit Persoonsgegevens het register ter inzage vragen in het kader van het toezicht op de naleving van de AVG.

De AVG legt een verantwoordingsplicht op aan organisaties die persoonsgegevens verwerken. Eén van de verplichtingen op dit gebied is het register van verwerkingsactiviteiten. Notarissen zijn verplicht een register bij te houden op grond van artikel 30 lid 1 AVG,  omdat zij verwerkingsverantwoordelijken zijn in de zin van de AVG en er niet onder een uitzondering vallen.
Niet alle verwerkingsverantwoordelijken zijn verplicht een verwerkingenregister bij te houden. Artikel 30 geeft een uitzondering op deze verplichting voor ondernemingen met minder dan 250 personen in dienst. Deze uitzondering is echter niet van toepassing indien:

• de verwerking waarschijnlijk risico’s meebrengt voor rechten en vrijheden van betrokkenen, en/of
• de verwerking niet incidenteel is, en/of
• bijzondere (9 lid 1 AVG) of strafrechtelijke persoonsgegevens (10 lid 5 AVG) worden verwerkt.

Deze uitzondering geldt niet voor de notaris, omdat hij 'niet incidenteel' persoonsgegevens verwerkt, maar structureel. Dit is bevestigd door de Autoriteit Persoonsgegevens bij navraag door de KNB.

Nee. In het register vult u niet de aparte zaken met namen van cliënten in, alleen het soort verwerkingen. Dit betekent dat u het register eenmalig invult voor de verwerkingsactiviteiten op uw kantoor. Daarna is het wel van belang om het register actueel te houden. Als er wijzigingen zijn in een verwerkingsactiviteit of er een nieuwe activiteit bij komt, dan moet het register worden aangepast.

U moet het verwerkingsregister updaten zodra er veranderingen plaatsvinden in de verwerkingen van persoonsgegevens binnen het notariskantoor. Dit kan bijvoorbeeld het geval zijn wanneer u nieuwe categorie persoonsgegevens gaat verwerken, een nieuwe IT-dienstverlener inschakelt, of de doeleinden van de verwerking wijzigt.
Voorbeeld: uw kantoor besluit om een nieuw softwarepakket te gebruiken voor de salarisadministratie, waardoor de persoonsgegevens nu ook door een externe dienstverlener worden verwerkt. In dat geval moet u het verwerkingsregister bijwerken met de nieuwe categorieën ontvangers en de bijbehorende beveiligingsmaatregelen. Door dergelijke wijzigingen nauwkeurig bij te houden, blijft u voldoen aan de verantwoordingsplicht zoals beschreven in artikel 5, lid 2 van de AVG.

In het verwerkingsregister moeten bepaalde velden verplicht worden opgenomen, zoals de categorieën van de verwerkte persoonsgegevens en van betrokkenen, het doel van de verwerking en (indien mogelijk) bewaringstermijnen. Deze staan meestal niet in een kantoorhandboek. Een optie kan zijn een verwerkingsregister aan te leggen met de verplichte velden en dddaarin voor de feitelijke processtappen te verwijzen naar het kantoorhandboek.

Het register geeft inzicht in de persoonsgegevens die verwerkt worden. Niet alleen voor de Autoriteit Persoonsgegevens, maar ook voor de notaris zelf. Daarnaast is het register een goede basis om aan andere AVG-verplichtingen te voldoen en daarmee hoge boetes te voorkomen. Hieronder staat puntsgewijs weergegeven waarom het register nuttig is voor de notaris.

1. Je weet wat je verwerkt (en daardoor: wat je daarvoor moet regelen)
   Wie aan de AVG moet voldoen, moet weten voor welke verwerkingen van persoonsgegevens hij precies verantwoordelijk is. De eerste keer dat het register wordt gevuld, moet dit worden geïnventariseerd. Dat is een goede gelegenheid om ook andere verplichte AVG-zaken in te regelen, zoals vermeld in de volgende punten.
2. Minimale gegevensverwerking
   Bij de inventarisatie kan blijken dat persoonsgegevens op meer plaatsen dan nodig of in 'informele bestandjes' bij individuele medewerkers worden verwerkt. Volgens de AVG mogen persoonsgegevens niet meer dan nodig worden verwerkt. Dit is een goede gelegenheid om a) zicht te krijgen op de verwerkingen, b) ze op te schonen en c) interne procedures aan te passen waar nodig.
3. Doel en grondslag vaststellen / vastleggen
   Op grond van de AVG mag u persoonsgegevens alleen verwerken voor 'welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen'. Een verwerking is gerechtvaardigd als deze gebaseerd kan worden op één van de zes rechtsgrondslagen1 . De inventarisatie bij het vullen van het verwerkingenregister biedt een gelegenheid om vast te stellen op welke grondslag iedere verwerkingsactiviteit is gebaseerd. Als hierover vragen komen van de toezichthouder of van betrokkenen, dan zijn deze eenvoudig te beantwoorden.
4. Inzicht bij inroepen rechten van betrokkenen en bij datalekken
   Als betrokkenen informatie vragen of een klacht indienen over de gegevensverwerking bij u of bij de Autoriteit Persoonsgegevens, moet u snel kunnen achterhalen welke gegevens u verwerkt, waarom u dat mag, waar deze staan en hoe deze zijn beveiligd. Het register faciliteert dat.
5. Verwerkingsovereenkomsten
   Aan de hand van het register kunt u nagaan voor welke verwerkingsactiviteiten u een verwerker heeft ingeschakeld. Zo heeft u een hulpmiddel om te controleren of u met alle verwerkers de verplichte verwerkingsovereenkomst heeft gesloten.
6. Boete voorkomen
   Heeft u ten onrechte geen register van verwerkingsactiviteiten, dan kan de Autoriteit Persoonsgegevens u een boete opleggen. Boetes in deze categorie kunnen oplopen tot 10 miljoen euro.

In het Voorbeeld Register van verwerkingsactiviteiten AVG is dat niet zo, omdat dit valt dit onder het verzamelen van gegevens ten behoeve van het opmaken van een notariële akte (categorie 1). De bedoeling is dat het register inzicht geeft in alle verwerkingsactiviteiten. Er zijn specifieke regels voor verplichte onderdelen van het register, maar er zijn geen regels over het detailniveau waarop deze worden ingevuld. Het is uiteraard toegestaan uitgebreider te documenteren dan het voorbeeld aangeeft als dit het inzicht op het notariskantoor verbetert.

Ja, deze verwerking moet worden vermeld.
Ook als u de gegevens doorstuurt naar bijvoorbeeld de uitgeverij die de nieuwsbrief voor u verstuurt, moet u dit in het register vermelden. In het voorbeeld van de KNB valt dit onder de verwerkingsactiviteiten die zijn genoemd bij marketing en acquisitie. Met de uitgeverij moet een verwerkingsovereenkomst worden gesloten. Denk ook aan het vragen van toestemming aan cliënten: voor deze verwerking moet u kunnen aantonen dat cliënten expliciet toestemming hebben gegeven nadat zij op een begrijpelijke manier zijn geïnformeerd over deze verwerking.

Ja, indien in een offerte persoonsgegevens worden opgenomen. Dit zal vrijwel altijd het geval zijn.