Als verwerkingsverantwoordelijke of als verwerker moet u interne documentatie bijhouden over de verwerking van persoonsgegevens die u uitvoert, namelijk een Register van de verwerkingsactiviteiten. Artikel 30 van de AVG voorziet maar heel weinig uitzonderingen op deze verplichting. De inhoud van het Register is nauwkeurig bepaald en biedt een overzicht om zich in overeenstemming te brengen met alle verplichtingen die uit de AVG voortvloeien. Het is een controlemiddel voor de GBA, Gegevensbeschermingsautoriteit.

De verwerkingsverantwoordelijke en de verwerkers moeten een Register van de verwerkingsactiviteiten bijhouden (artikel 30.1 van de AVG). Ook als ze niet gevestigd zijn op het grondgebied van de Europese Economische Ruimte en de AVG op hen van toepassing is, moeten de verwerkingsverantwoordelijke en de verwerker een Register bijhouden.

De verplichting een Register bij te houden, soms ook vermeld als de 'interne documentatieplicht', is niet van toepassing op ondernemingen met minder dan 250 werknemers, onder bepaalde voorwaarden (art. 30.5. van de AVG). Het toepassingsgebied van deze uitzondering is echter zeer beperkt.

Als een kleine organisatie met minder dan 250 personen, gewoonlijk persoonsgegevens verwerkt (dus niet incidenteel (bij gelegenheid, toeval of onvoorzien)) zoals meestal het geval is voor het personeelsbeheer – kan ze haar Register beperken tot haar gewoonlijke gegevensverwerking. De strikt incidentele verwerkingen hoeven niet in het Register te worden opgenomen. Deze beperking is echter alleen mogelijk als deze incidentele verwerkingen geen risico's inhouden of gevoelige gegevens betreffen.

Algemeen beschouwd beveelt de GBA alle verwerkingsverantwoordelijken en verwerkers aan een Register aan te houden omdat het een overzicht biedt van de verwerkingen.

De AVG is sinds 25 mei 2018 van toepassing in de hele Europese Unie (EU). De AVG geldt voor iedereen die persoonsgegevens verwerkt. Dus zowel voor grote als kleine ondernemers. Ook de overheid is gebonden aan de AVG. Maar ook individuen vallen onder de AVG-richtlijn als zij persoonsgegevens verwerken, vb. Het ophangen van een camera bij hun huis.

De AVG kent 6 basisprincipes of 'beginselen'. Die staan in  artikel 5 van de AVG. Iedereen die persoonsgegevens verwerkt, moet zich hieraan houden. En dit kunnen aantonen. Dat is het zevende, overkoepelende beginsel van de AVG: de verantwoordingsplicht.

De 6 AVG-beginselen zijn:

• rechtmatigheid, behoorlijkheid en transparantie
• doelbinding
• dataminimalisatie
• juistheid
• opslagbeperking
• vertrouwelijkheid en integriteit

Om rechtmatig te zijn, moet een verwerking in elk geval gebaseerd zijn op een grondslag uit de AVG. Maar ook mag de verwerking niet in strijd zijn met andere wetgeving, zoals een wettelijke geheimhoudingsplicht.

De verwerking moet ook 'behoorlijk' zijn. Dat betekent die niet (op een niet te rechtvaardigen manier) nadelig, discriminerend, onverwacht of misleidend mag zijn voor de betrokkenen.

Verder moet het transparant zijn voor betrokkenen hoe en waarom een organisatie hun persoonsgegevens verwerkt. Dat betekent dat de organisatie hier open en duidelijk over moet communiceren. De betrokkenen hebben recht op informatie zodat zij zelf kunnen beslissen of zij hun persoonsgegevens willen delen met de organisatie die hierom vraagt. Zelfs als mensen hun gegevens afstaan hebben ze recht op duidelijke informatie

Organisaties mogen persoonsgegevens alleen verzamelen met een gerechtvaardigd doel. Dat doel moet specifiek zijn en vooraf uitdrukkelijk omschreven. Organisaties mogen dus niet alvast persoonsgegevens gaan verzamelen omdat die misschien ooit van pas gaan komen.

Het doel waarvoor een organisatie persoonsgegevens gaat verwerken, moet verenigbaar zijn met het doel waarvoor deze gegevens zijn verzameld. Kortom, de organisatie mag de gegevens niet plots voor een ander doel gaan verwerken.

Deze eis geldt ook voor het verstrekken van persoonsgegevens aan een andere organisatie (verstrekken is een vorm van verwerken).

Als organisaties persoonsgegevens verwerken, moeten ze daarbij uitgaan van het principe ‘zo min mogelijk’. Dat houdt bijvoorbeeld in dat de verwerking van de gegevens moet passen bij het doel. En dat de organisatie niet meer gegevens mag verwerken dan noodzakelijk is om dat doel te bereiken.

Organisaties moeten ervoor zorgen dat de gegevens juist zijn. En de gegevens actualiseren als dat nodig is. Mensen kunnen ook aan organisaties vragen hun persoonsgegevens aan te passen als die niet kloppen. Mensen hebben recht op rectificatie. Dat houdt in dat zij organisaties kunnen vragen hun persoonsgegevens te corrigeren als die niet kloppen. Bijvoorbeeld nadat zij een inzageverzoek hebben gedaan bij een organisatie en hebben ontdekt dat hun gegevens niet juist zijn. Of niet compleet. Zij kunnen de organisatie dan vragen hun gegevens aan te passen of aan te vullen. Ze kunnen ook altijd vragen om hun gegevens te verwijderen.

Organisaties moeten persoonsgegevens verwijderen zodra die niet langer nodig zijn voor het oorspronkelijke doel waarvoor ze zijn verzameld. Met andere woorden er staat een vervaldatum op persoonsgegevens. Echter om een goede administratie te kunnen bijhouden, moeten organisaties bepaalde persoonsgegevens een tijd bewaren. Maar bewaren van persoonsgegevens mag niet langer dan noodzakelijk is. In de Algemene verordening gegevensbescherming (AVG) staat geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Belangrijk is wel dat in het verwerkingsregister voor de verschillende categorieën van gegevens een bewaartermijn wordt opgegeven. Een bewaartermijn hoeft niet per se in dagen, weken of maanden omschreven te worden. Het kan ook betrekking hebben op de termijn die nodig is om een project af te ronden.

Organisaties moeten hun gegevensverwerkingen goed beveiligen. Er gelden extra strenge regels voor bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens die zo privacygevoelig zijn, vb. medisch dossier, juridisch dossier, politieke voorkeur, dat het een grote impact kan hebben op de persoon in kwestie als er iets met deze gegevens misgaat (vb. datalek). De AVG heeft extra bescherming beschreven voor deze gegevens. Elke organisatie die persoonsgegevens verwerkt moet zelf bepalen welke beveiligingsmaatregelen nodig zijn. De organisatie moet ook kunnen aantonen dat de beveiliging au sérieux genomen wordt en hier blijvend aandacht aan schenken.

Het antwoord hierop is kort: ja. Het uitgangspunt van de AVG is simpel: elke keer dat je persoonsgegevens verwerkt van iemand, is dat een inbreuk op diens privacy. Dus je mag enkel die gegevens verwerken als het echt niet anders kan. Met andere woorden: zonder het verwerken van die persoonsgegevens kan jij je doel niet bereiken.

De AVG somt 6 grondslagen of redenen op om die gegevens te mogen verwerken.

• Toestemming van de betrokkene
• Noodzakelijk om een overeenkomst uit te voeren
• Wettelijke verplichting
• Bescherming van vitale belangen
• Het dient een taak van algemeen belang of openbaar gezag
• Het behartigt uw gerechtvaardigd belang

Het is belangrijk dat u een grondslag (reden) opneemt in uw privacyverklaring zodat betrokkenen op voorhand weten welke grondslag jij inroept om de gegevens te verwerken. Neem de grondslag ook zeker op in je verwerkingsregister. Weet dat je altijd moet kunnen verantwoorden waarom je deze grondslag hanteert. Het is dus handig dat je de grondslag ook opneemt in je privacybeleid zodat je kan voldoen aan je verantwoordingsplicht.

Bedrijven of organisaties zullen zich vaak op een gerechtvaardigd belang beroepen als grondslag omdat het meestal het beste aansluit bij de activiteiten. Daarbij moet je wel aan 3 voorwaarden voldoen.

1. Je moet echt kunnen aantonen dat er een gerechtvaardigd belang is. Er moet een duidelijke link zijn met de bedrijfsactiviteiten.
2. De verwerking is noodzakelijk om dit belang te realiseren. Je moet je hier de vraag stellen of er andere manier zijn die minder effect hebben op de persoonsgegevens om je belang te behartigen en je doel te bereiken.
3. Je hebt de belangen van de organisatie perfect afgewogen ten opzichte van de belangen van de betrokkenen. Belangrijk hierbij is dat het gerechtvaardigd belang niet teniet mag worden gedaan door de belangen van de betrokkenen in het geval dat de organisatie rekening heeft gehouden met de redelijke verwachtingen van de betrokkenen met betrekking tot de verwerking van de persoonsgegevens.

Een verwerkingsregister, soms dataregister genoemd, moet schriftelijk worden opgesteld. Dat kan in elektronische vorm. Het mag niet tegelijk in papieren en elektronische vorm bestaan (punt 30.3. van de AVG). Het moet leesbaar en begrijpelijk zijn voor de Gegevensbeschermingsautoriteit (GBA).

Het register moet ook worden bijgewerkt overeenkomstig de ontwikkeling en evolutie van de activiteiten van de betrokken onderneming of organisatie. Het kan met het oog op de ‘aansprakelijkheid’ voor de verwerkingsverantwoordelijken en de verwerkers nuttig zijn deze informatie tot 5 jaar na de beëindiging van de verwerking te bewaren – met vermelding van de datum waarop de verwerking werd beëindigd. De GBA kan verzoeken het Register in te kijken om informatie over de verwerkingen te verifiëren, zelfs na de beëindiging van de verwerkingen.

Het bedrijf of de organisatie kan bepalen in welke taal het Register wordt opgesteld. De GBA kan echter een vertaling van het Register in één van de landstalen vragen op kosten van de onderneming of de organisatie.