Advies van de Autoriteit Persoonsgegevens over privacybeleid
De Autoriteit Persoonsgegevens (AP) doet vijf concrete aanbevelingen voor het verwerken van persoonsgegevens in het verwerkingsregister. De AP heeft verkennend onderzoek gedaan bij dertig organisaties, om een beeld te krijgen hoe het staat met de kwaliteit van de registers. Het bijhouden van een verwerkingsregister is een verplichting voor het merendeel van de Nederlandse organisaties en is vastgelegd in de Algemene Verordening Gegevensbescherming (AVG), de privacywetgeving die sinds 25 mei 2018 geldt. Als OR heeft u volgens WOR artikel 27 instemmingsrecht als het gaat om regelingen omtrent het verwerken en beschermen van persoonsgegevens van de in de onderneming werkzame personen.
Vijf tips voor een AVG-proof privacybeleid
De vijf aanbevelingen van de AP voor het verwerkingsregister zijn:
- Benoem hoe lang en met welk doel uw organisatie persoonsgegevens wil bewaren.
Het is niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moet uw bestuurder kunnen motiveren waarom hij de gegevens verzamelt. - Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
- Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens.
- Geef duidelijk aan waar de persoonsgegevens precies bewaard worden en neem deze locaties of bestanden op in het register.
Dit is nodig, voor het geval medewerkers een verzoek om inzage of verwijdering indienen. - Maak duidelijk welk doel bij welke verwerking hoort.
Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende, dit dient precies omschreven te worden.
Gaat uw bestuurder met deze aanbevelingen aan de slag? Dan betreft het een wijziging van de regeling omtrent het verwerken van persoonsgegevens en kunt u een instemmingsaanvraag verwachten.
Wanneer is een verwerkingsregister verplicht?
Het verwerkingsregister is verplicht voor organisaties met meer dan 250 medewerkers. En voor organisaties met minder dan 250 medewerkers, zodra:
- de verwerking van persoonsgegevens niet incidenteel is;
- uw organisatie persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie uw bestuurder persoonsgegevens verwerkt;
- uw organisatie persoonsgegevens verwerkt die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.
Indien het voor uw organisatie verplicht is een verwerkingsregister bij te houden, is het belangrijk om aan deze plicht te voldoen. Het register moet uw bestuurder namelijk kunnen overhandigen aan de Autoriteit persoonsgegevens (AP) als zij hier om vragen.
Meer lezen over de AVG? Bekijk deze checklist