Wanneer moet er een register van verwerkingsactiviteiten worden opgesteld?

In de Algemene verordening gegevensbescherming (AVG) staan een aantal verplichte maatregelen genoemd waarmee organisatie aan hun verantwoordingsplicht (accountability) kunnen voldoen. Een van die verplichtingen is het register van verwerkingsactiviteiten. Of er een register van verwerkingsactiviteiten moet worden opgesteld, hangt af van de omvang van de organisatie en het type gegevens dat wordt verwerkt. Organisaties met meer dan 250 medewerkers moeten verplicht een dergelijk een register bijhouden. Een organisatie met minder dan 250 medewerkers moet over een register van verwerkingsactiviteiten beschikken wanneer deze persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie persoonsgegevens worden verwerkt en/of waarvan de verwerking niet incidenteel is en/of die vallen onder de categorie bijzondere persoonsgegevens (gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens).
Organisaties verplicht zijn om een register van verwerkingsactiviteiten op te stellen moeten dit register kunnen verstrekken wanneer de Autoriteit Persoonsgegevens daar om vraagt.
Word pro

Pro-abonnees downloaden gratis het Ebook met 167 vragen en antwoorden over Privacy-wetgeving / AVG-GDPR.