Register van verwerkingsactiviteiten

Privacyprincipe
ID:	PRIV_U.02
Versie:	3.3
Status:	Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified):	16-10-2017
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.:	10-9-2020
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Onbekend

Verwante principes

→ Privacy Uitvoering: het uitvoeringsdomein

→ de Privacy Baseline

→ Alle Normenkaders

→ Alle Privacyprincipes

→ Alle Normen

→ Beveiligingsaspecten

→ Invalshoeken

→ ISOR

Om de naleving van de AVG aan te kunnen tonen dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevonden^{AVG overweging 82.}.
Binnen een organisatie kan dit via gegevensmanagement worden vastgelegd. De vastlegging maakt duidelijk hoe de verschillende organisatieonderdelen de bedrijfsprocessen ondersteunen en welke beveiligingsmaatregelen (op hoofdlijnen) zijn getroffen voor de verwerkingen en betrokkenen. Het register maakt toezicht op de verwerkingsactiviteiten mogelijk.

Criterium

De verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens.

Doelstelling

Het doel van een 'Register van verwerkingsactiviteiten' is inzicht te verstrekken in de verwerkingen en de gegevensstromen binnen de organisatie en bij de partijen die namens de organisatie zorgen voor de verwerking van persoonsgegevens.

Risico

Het niet hebben van een overzicht van verwerkingen leidt tot een incompleet beeld van de verwerkte categorieën persoonsgegevens en getroffen maatregelen voor de relevante verwerkingen, processen en technische systemen.

Indeling binnen ISOR

Dit privacyprincipe:

is gericht op Beveiligingsaspect Uitvoering
valt binnen de IFGS-indeling IFGS Onbekend
ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is AVG Art. 30

Onderliggende normen

ID	Conformiteitsindicator	Stelling	Pagina
PRIV_U.02.01.01	register	Elke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke.	Register van verwerkingsverantwoordelijke
PRIV_U.02.01.02	register	Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevens^{AVG Art. 30 lid 1}: De naam en de contactgegevens van: De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en: In voorkomend geval: Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en: Van de Functionaris voor Gegevensbescherming; De verwerkingsdoeleinden; Een beschrijving van de categorieën van betrokkenen; Een beschrijving van de categorieën persoonsgegevens; De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt; Bij doorgiften aan een derde land of een internationale organisatie: De doorgifte van verstrekte persoonsgegevens; De vermelding van dat derde land of die internationale organisatie; De documenten inzake de passende waarborgen; De beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist (indien mogelijk); Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).	Inhoud van het register van verwerkingsactiviteiten
PRIV_U.02.01.03	register	De verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker.	Register van verwerker, categorieën van verwerkingsactiviteiten
PRIV_U.02.01.04	register	Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevens^{AVG Art. 30 lid 1}: De naam en de contactgegevens van: De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en: In voorkomend geval: Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en: Van de Functionaris voor gegevensbescherming; De categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd; Bij doorgiften aan een derde land of een internationale organisatie: De doorgifte van verstrekte persoonsgegevens De vermelding van dat derde land of die internationale organisatie De documenten inzake de passende waarborgen; Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).	Register van verwerker, inhoud van het register
PRIV_U.02.01.05	register	Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.	Register van verwerker, in schriftelijke elektronische vorm
PRIV_U.02.01.06	register	Het register hoeft niet te worden bijgehouden indien: De onderneming of organisaties minder dan 250 personen in dienst heeft, Het niet waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, De verwerking incidenteel is, en: Geen verwerking plaatsvindt van bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.	Register van verwerker, niet bijgehouden als …
PRIV_U.02.02.01	actueel en samenhangend beeld	De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld.	De registers geven een samenhangend beeld
PRIV_U.02.02.02	actueel en samenhangend beeld	Op verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.	Actueel beeld voor de AP
PRIV_U.02.02.03	actueel en samenhangend beeld	De onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen: De bedrijfsprocessen; Organisaties en organisatieonderdelen; De verwerkingen; De locaties waar persoonsgegevens worden opgeslagen; De gegevensuitwisselingen (binnen en buiten de eigen organisatie); De systemen.	Beschrijving gegevensstromen
PRIV_U.02.02.04	actueel en samenhangend beeld	Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register.	Resultaten DPIA in register