Verwerkingsregister

Het verwerkingsregister is een verplicht AVG-document waarin je alle verwerkingen van persoonsgegevens binnen je organisatie vastlegt: welke gegevens, welk doel, welke grondslag, welke ontvangers en bewaartermijn. Voor organisaties met 250 of meer werknemers altijd verplicht; voor kleinere organisaties onder voorwaarden. Het register is hét eerste dat de Autoriteit Persoonsgegevens opvraagt bij een datalek of controle.

Aan de slag met een verwerkingsregister? Normity helpt je graag verder. Met onze gebruikersvriendelijke en complete software, ondersteund door onze adviseurs.

demo aanvragen stel een vraag over privacy

Normity - Icoon
Normity - Icon - Twitter Normity - Icon - Facebook Normity - Icon - LinkedIn Normity - Icon - Whatsapp Normity - Icon - Pinterest Normity - Icon - Email Normity - Icon - Email Normity - Icon - Plus

Onderwerpen

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Normity

Eerlijk is eerlijk: wij zijn behoorlijk trots op onze eigen software. Dat komt niet in de laatste plaats doordat we deze al bij veel organisaties hebben mogen implementeren. Tevreden organisaties. Omdat deze organisaties met Normity in staat zijn grip te krijgen op hun kwaliteit. Omdat audittrajecten eenvoudiger verlopen. Omdat processen beter inzichtelijk is. Omdat medewerkers meer betrokken zijn. Kortom: meer kwaliteit. En dat is goed voor jou, maar ook voor jouw klanten.

Verwerkingsregister

Een verwerkingsregister is een document waarin alle verwerkingsactiviteiten van persoonsgegevens binnen een organisatie worden bijgehouden. Het is een essentieel hulpmiddel voor bedrijven om de naleving van de AVG te waarborgen. Het register moet informatie bevatten over de aard van de verwerkte gegevens, de doeleinden van de verwerking, de categorieën van betrokkenen, de categorieën van ontvangers aan wie de gegevens worden verstrekt en de bewaartermijnen van de gegevens.

Het verwerkingsregister moet in begrijpelijke en toegankelijke taal worden geschreven. Het moet bijvoorbeeld informatie bevatten over de bron van de gegevens, de juridische grondslag voor de verwerking van de gegevens, de bewaartermijn van de gegevens en de technische en organisatorische maatregelen die zijn genomen om de gegevens te beveiligen.

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een verwerkingsregister bij te houden. Dit geldt voor zowel publieke als private organisaties en voor zowel grote als kleine organisaties. Het bijhouden van een verwerkingsregister is niet afhankelijk van de omvang van de organisatie of het aantal gegevens dat wordt verwerkt.

In sommige gevallen kan een organisatie verplicht zijn om een specifiek verwerkingsregister bij te houden. Zo moet een verwerkingsverantwoordelijke bijvoorbeeld een register bijhouden van alle verwerkingen van persoonsgegevens die onder zijn verantwoordelijkheid worden uitgevoerd. Een verwerker moet ook een register bijhouden van alle verwerkingen van persoonsgegevens die namens de verwerkingsverantwoordelijke worden uitgevoerd.

AVG persoonsgegevens privacy registratie documentatie verwerking bewaartermijn beveiliging organisatie verwerkingsverantwoordelijke verwerker verwerkersovereenkomst toestemming juridische grondslag datalekken rechten van betrokkenen betrokkenen doeleinden verstrekkingen derden

Gerelateerd

Normity - Icon - Twitter Normity - Icon - Facebook Normity - Icon - LinkedIn Normity - Icon - Whatsapp Normity - Icon - Pinterest Normity - Icon - Email Normity - Icon - Email Normity - Icon - Plus

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by design

Privacy by design is het AVG-principe dat privacy vanaf het ontwerp van een proces, systeem of product wordt meegenomen — niet achteraf erop geplakt. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het concreet toepast in je organisatie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by default

Privacy by default is het AVG-principe dat de standaardinstellingen van een systeem of dienst de meest privacyvriendelijke zijn — gebruikers hoeven zelf geen extra stappen te zetten om hun gegevens te beschermen. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het toepast.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wpg voor boa's - Register van verwerkingen

Het Wpg-verwerkingsregister is vergelijkbaar met het AVG-verwerkingsregister, maar kent aanvullende eisen: onder meer over bewaartermijnen, rechtsgrondslagen per artikel en expliciete koppeling aan politietaken. In dit artikel lees je welke extra elementen het Wpg-register moet bevatten en hoe je dit naadloos aanvult op een bestaand AVG-verwerkingsregister.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Wat is een verwerking?

Volgens de AVG is 'verwerken' vrijwel alles wat je met persoonsgegevens kunt doen: verzamelen, opslaan, raadplegen, wijzigen, doorsturen, vernietigen — zelfs het enkel bekijken valt eronder. In dit artikel lichten we toe wat het begrip 'verwerken' precies inhoudt en waarom dit ruime begrip relevant is voor elke organisatie.

Marcel van Langen

Veelgestelde vragen over Verwerkingsregister

De vragen die we het vaakst krijgen over Verwerkingsregister, met korte en feitelijke antwoorden.

Een verwerkingsregister is een overzicht van alle verwerkingen van persoonsgegevens binnen een organisatie, verplicht onder artikel 30 AVG. Per verwerking worden doel, grondslag, categorieën betrokkenen, categorieën gegevens, bewaartermijn, ontvangers en eventuele doorgifte buiten de EU vastgelegd.

Een verwerkingsregister is verplicht voor organisaties met meer dan 250 medewerkers én voor alle organisaties die structureel of risicovol persoonsgegevens verwerken (ook kleinere). In de praktijk vallen vrijwel alle Nederlandse organisaties hieronder. Ook verwerkers (leveranciers die voor jou persoonsgegevens verwerken) moeten een register bijhouden.

Per verwerking minimaal: naam en contactgegevens van de verantwoordelijke, doel van de verwerking, grondslag, categorieën betrokkenen (klanten, medewerkers), categorieën gegevens (NAW, gezondheid), categorieën ontvangers, doorgifte buiten EU, bewaartermijn en een algemene beschrijving van technische en organisatorische maatregelen.

De verwerkingsverantwoordelijke registreert alle eigen verwerkingen (doel, grondslag, enzovoort). De verwerker (bijvoorbeeld een SaaS-leverancier) registreert welke verwerkingen zij namens welke klant uitvoert. De registers hebben overlappende maar niet identieke eisen. Veel organisaties zijn beide tegelijk en houden twee registers bij.

Nee, het verwerkingsregister is géén openbaar document. Wel moet je het desgevraagd kunnen overleggen aan de Autoriteit Persoonsgegevens. Openbaar via je website hoef je het register niet te maken — daarvoor dient de privacyverklaring, die een samenvatting biedt voor betrokkenen.

Het register moet actueel zijn op elk moment dat de AP erom vraagt. Dat betekent: bij elke nieuwe verwerking (nieuwe tool, nieuwe dienst, nieuw proces) uitbreiden. Gewijzigde verwerkingen bijwerken. Periodiek (minimaal jaarlijks) integraal herzien. Eigenaarschap per verwerking beleggen helpt om het actueel te houden.

Een verwerkingsregister is intern en gedetailleerd — bedoeld voor audit en toezicht. Een privacyverklaring is extern en samengevat — bedoeld voor betrokkenen om hen te informeren over hun rechten en welke gegevens je verwerkt. Het register is de bron; de privacyverklaring een publiekelijke uitsnede ervan.

Een register kan in Excel, maar raakt bij groei snel onoverzichtelijk. Dedicated privacy-tooling (zoals Normity, OneTrust, ComplianceDesk) biedt versiebeheer, workflows, koppeling met DPIA's, verwerkersovereenkomsten en datalekregistratie. Voor organisaties met meer dan 20 verwerkingen is dedicated tooling sterk aan te raden.

Meer weten?

Misschien ben je nieuwsgierig geworden wat Normity voor jou en jouw organisatie kan betekenen? Wellicht hoe Normity jouw organisatie kan ondersteunen bij de implementatie? Of misschien zoek je een adviseur? Wij vinden het leuk om hierover met jou vrijblijvend van gedachten te wisselen. Via het formulier hieronder kun je contact met ons opnemen. Wij nemen dan zo spoedig mogelijk contact met je op!

Dit formulier vraagt om jouw contactgegevens zodat wij met je kunnen communiceren. Jouw gegevens worden nooit aan derden verstrekt. Zie onze privacyverklaring om te zien hoe wij met jouw gegevens omgaan.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management