Onder de Algemene verordening gegevensbescherming (AVG) moeten de meeste organisaties een register bijhouden waarin de verwerkingen van persoonsgegevens in worden opgeslagen. De Autoriteit Persoonsgegevens (AP) besloot om de kwaliteit van dit verwerkingsregister bij dertig grote, private organisaties onder de loep te nemen.
De instantie geeft aan dat de staat van het register een goede indicatie geeft van de wijze waarop een organisatie de AVG naleeft. Op basis van het onderzoek heeft de AP een aantal aanbevelingen gedaan.
Aanbevelingen AVG
De AP adviseert voor hun verwerkingsregister het volgende:
- Geef duidelijk aan op welke locatie of in welk bestand de persoonsgegevens bewaard worden en neem deze locaties en/of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
- Benoem hoelang en met welk doel uw organisatie persoonsgegevens wil bewaren. Het is niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Het is belangrijk dat u kunt motiveren waarom u deze gegevens verzamelt.
- Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
- Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
- Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsommingen van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
Aanwezigheid van FG binnen de organisatie
Het verwerkingsregister is uiteraard niet het enige waar de AP actief op controleert. De instantie heeft de afgelopen maanden ook een aantal sectoren gecontroleerd op de aanwezigheid van een functionaris voor de gegevensbescherming (FG). De FG is iemand binnen de organisatie die toezicht houdt op de toepassing en naleving van de AVG.
Onlangs waren de banken en verzekeraars aan de beurt en daarbij had niet elke organisatie alles op orde. Sommige organisaties hadden de contactgegevens van de FG niet op hun website gepubliceerd en dat is wel de bedoeling. De organisaties krijgen nog de kans om dit aan te passen en te herstellen, dus er zijn hiervoor nog geen boetes uitgedeeld. Wel is het belangrijk dat het bij een volgende controle helemaal op orde is.
Ook nog hulp nodig met het verwerken van persoonsgegevens of nog geen FG binnen uw organisatie? Neem contact met ons op voor meer informatie!