Zodra de AVG geldt, heeft u als organisatie een documentatieplicht

door | 8-okt-2017 | nieuws

De documentatieplicht houdt in dat u met (elektronische) documenten moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.

Zodra de AVG van toepassing is, vervalt de plicht om gegevensverwerkingen bij de toezichthouder te melden. In plaats daarvan moeten organisaties zelf een register gaan bijhouden van verwerkingsactiviteiten, een zogenaamd ‘verwerkingsregister’. Doel is dat u op elk moment uw verwerkingen van persoonsgegevens kunt verantwoorden, of anders gezegd: aan kunt tonen dat u, in overeenstemming bent met de bepalingen van de AVG en de juiste organisatorische en technische maatregelen hebt getroffen. U moet dus een privacy-administratie bij gaan houden om de AP op elk moment te kunnen voorzien van informatie over hoe uw organisatie de verwerking van persoonsgegevens heeft geregeld en de veiligheid daarvan heeft geborgd. In het geval u dat niet kunt riskeert u een aanzienlijke boete . Dit wordt de documentatieplicht genoemd.

Documentatieplicht: Wat moet allemaal vastgelegd worden in het verwekingsregister?

In de AVG zijn een aantal gegevens expliciet genoemd die u minimaal in een, zoals bovenstaand genoemd, verwerkingsregister moet vastleggen.

Dit betreft gegevens zoals:

  • De gegevens over de verantwoordelijke (of medeverantwoordelijke);
  • Het doel van de verwerking;
  • Beschrijving van de categorieën van betrokkenen en persoonsgegevens;
  • De bewaartermijnen van de persoonsgegevens;
  • De categorieën ontvangers waaraan persoonsgegevens ter beschikking gesteld zijn of zullen worden, inclusief ontvangers in derde landen;
  • Doorgifte naar derde landen of internationale organisaties, inclusief welke landen/organisaties;
  • Een beschrijving van de genomen technische en organisatorische maatregelen.

Bovengenoemde verplichtingen zijn niet van toepassing op organisaties die minder dan 250 medewerkers in dienst hebben, behalve wanneer de verwerkingen een risico (kunnen) vormen voor de rechten en vrijheden van betrokkenen, het verwerken niet incidenteel is of er speciale categorieën persoonsgegevens of persoonsgegevens met betrekking tot criminele veroordelingen/overtredingen verwerkt worden.

Share This