Stap 3: Maak een overzicht van alle gegevens
U heeft stap 1 en 2 van dit stappenplan doorlopen. Dat betekent dat u voor al uw verwerkingen heeft bepaald welke gegevens u verwerkt, voor welk doel en op basis van welke grondslag. Daarmee kunt u aan de slag kunt om ‘gewone’ persoonsgegevens te verwerken.
Dit moet u natuurlijk zorgvuldig doen. Daarom is het belangrijk dat u:
- goed kunt onderbouwen waarom een bepaalde grondslag op uw verwerking van toepassing is;
- deze grondslag registreert in uw privacyverklaring en in uw verwerkingsregister.
Privacyverklaring
U heeft de plicht om mensen te informeren over de verwerking van hun persoonsgegevens. De meeste bedrijven doen dit via een online privacyverklaring. Zet in uw privacyverklaring op basis van welke grondslag u persoonsgegevens verwerkt. Zo weten de mensen van wie u gegevens verwerkt waarom u dit mag. En komen zij niet voor verrassingen te staan.
Verwerkingsregister
Het verwerkingsregister geeft informatie over de persoonsgegevens die u verwerkt. Het is bijna altijd verplicht om een verwerkingsregister te hebben. Meestal ook voor kleine ondernemers. Maar het voordeel is wel: hoe minder persoonsgegevens u verwerkt, hoe minder tijd het kost om zo’n register te maken.
Registreer de grondslag in uw verwerkingsregister. Zorg er ook voor dat u goed kunt onderbouwen waarom u voor deze grondslag heeft gekozen.
Opstellen verwerkingsregister
U mag zelf weten hoe u het verwerkingsregister opstelt. Wel schrijft de AVG voor welke informatie u in het verwerkingsregister moet zetten.
Dat is onder meer:
- de doelen waarvoor u persoonsgegevens verwerkt;
- van wie u persoonsgegevens verwerkt;
- om wat voor soort persoonsgegevens het gaat (bijvoorbeeld: NAW-gegevens, e-mailadressen);
- welke maatregelen u heeft genomen om de persoonsgegevens te beveiligen.
Let op: baseert u uw verwerking op de grondslag toestemming? Dan zijn er extra aandachtspunten.
Lees meer over wat er in het verwerkingsregister moet staan
Verantwoordingsplicht
Het verwerkingsregister helpt u bij uw verantwoordingsplicht. Deze plicht houdt in dat u moet kunnen aantonen dat u aan de AVG voldoet. U moet bijvoorbeeld uw verwerkingsregister aan de Autoriteit Persoonsgegevens (AP) laten zien als de AP dat aan u vraagt. Zorg dus dat uw verwerkingsregister op orde is.
Volgende stap
Heeft u uw verwerkingsregister opgesteld? Dan kunt u verder met de volgende stap.