De verantwoordingsplicht en het verwerkingsregister

Gepubliceerd op: 14 november 2017
Bijgewerkt op: 19 augustus 2021
Geschreven door
Privacy Privacy Folder Tabblad 800X400

Op 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van kracht. Deze nieuwe privacywet heeft ook een enorme impact op webshops. Zo heb je als webwinkelier straks bij alle verwerkingen van persoonsgegevens die er binnen je organisatie plaatsvinden een verantwoordingsplicht tegenover de Autoriteit Persoonsgegevens (AP). Hieronder geven we kort weer wat deze plicht inhoudt, en hoe je hier via een verwerkingsregister aan kunt voldoen.

De verantwoordingsplicht

In de AVG staat vermeld dat persoonsgegevens moeten worden verwerkt op een wijze voor de betrokkene (bijvoorbeeld een consument) rechtmatig, behoorlijk en transparant is. De verwerkingsverantwoordelijke (bijvoorbeeld de webwinkel) is verantwoordelijk voor de naleving hiervan en moet dit kunnen aantonen (‘verantwoordingsplicht’). Je moet aan deze plicht voldoen door je gegevensverwerkingen te registeren in een privacy-administratie.

Daarnaast moet je kunnen laten zien dat je technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen. Dit moet, indien mogelijk, ook in deze administratie worden opgenomen. Een van de meest handige manieren om een privacyregister bij te houden is in een (digitaal) verwerkingsregister.

Verplichte maatregelen voor webshops

De verplichte maatregelen waar je als webshop onder de verantwoordingsplicht uit de AVG aan moet voldoen, zijn:

  • Er dient bij risicovolle verwerkingen een data protection impact assessment (DPIA) te worden uitgevoerd.
  • Alle gegevensverwerkingen moeten in een verwerkingsregister worden opgenomen.
  • Je moet uitwerken waarom en op welke manier toestemming aan de consument wordt gevraagd (waar dit nodig of een wettelijk verplichting is).
  • Er moet een register zijn waarin alle datalekken worden bijgehouden (link: wat is een datalek).
  • Je moet kunnen onderbouwen waarom er geen Data Protection Officer (DPO) is aangesteld.

Webwinkeliers kunnen er ook voor kiezen om extra maatregelen te nemen. Op deze manier kun je beter aantonen dat je aan de verantwoordingsplicht voldoet:

  • Het hanteren van een intern beveiligingsbeleid voor je webshop (wat ook inzichtelijk is voor je werknemers, bijvoorbeeld wat je moet doen bij een datalek).
  • Het aansluiten bij een gedragscode of belangenorganisatie (zoals Thuiswinkel.org).
  • Verantwoording over compliance met de AVG afleggen in het jaarverslag van je webshop of een apart verslag uitbrengen hoe privacy in jouw organisatie is ingeregeld.

Het verwerkingsregister

In het register houd je bij welke categorieën persoonsgegevens je verwerkt (bijvoorbeeld naw-gegevens of BSN), van wie je deze gegevens verwerkt (waaronder klanten of medewerkers) en met welk doel je deze verwerking uitvoert (zoals het afhandelen van een bestelling). Daarnaast moet je het volgende in je register opnemen:

  • De gegevens van de verwerkingsverantwoordelijke (in veel gevallen ben jij dit als webwinkelier) en van de DPO, als je die hebt.
  • De categorieën van ontvangers aan wie jouw webshop de gegevens nog meer verstrekt. Hierbij dien je ook te specificeren dat er ontvangers zich in andere landen (buiten de EU) of internationale organisaties bevinden.
  • Indien mogelijk, de termijnen waarbinnen de persoonsgegevens die je als webshop hebt verzameld, moeten worden gewist.
  • Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Deze plicht geldt niet alleen voor grote organisaties (met meer dan 250 medewerkers); kleinere organisaties moeten dit register toch bijhouden wanneer zij bijzondere persoonsgegevens (zoals medische gegevens) verwerken, risicovolle verwerkingen uitvoeren of structureel persoonsgegevens verwerken. Dus als je bijvoorbeeld klantprofielen opstelt of grote hoeveelheden gegevens verwerkt, is het bijhouden van een register ook voor jouw organisatie verplicht. De AP moet dit register op verzoek kunnen ingezien.

Thuiswinkel Privacytool

Om je te helpen bij het voldoen aan bovenstaande verplichtingen met betrekking tot het verwerkingsregister, heeft Thuiswinkel.org in samenwerking met ICTRecht en PrivacyBlox de Thuiswinkel Privacytool ontwikkeld. Dit is een gratis en exclusief hulpmiddel voor leden waarmee zij zelfstandig de nieuwe wetgeving kunnen toepassen. De Thuiswinkel Privacytool helpt onder meer bij het opzetten en bijhouden van dit register. Gebruik de vragenlijst voor dataverwerkingen en houd al je verwerkingsactiviteiten zorgvuldig bij. Lees hier meer over de Thuiswinkel Privacytool.

Heb je vragen over
dit onderwerp?

Neem dan contact op met onze expert.

Vincent Romviel
Vincent Romviel 250x250

Deel dit kennisartikel