De verantwoordingsplicht en het verwerkingsregister

De verantwoordingsplicht

In de AVG staat vermeld dat persoonsgegevens moeten worden verwerkt op een wijze voor de betrokkene (bijvoorbeeld een consument) rechtmatig, behoorlijk en transparant is. De verwerkingsverantwoordelijke (bijvoorbeeld de webwinkel) is verantwoordelijk voor de naleving hiervan en moet dit kunnen aantonen (‘verantwoordingsplicht’). Je moet aan deze plicht voldoen door je gegevensverwerkingen te registeren in een privacy-administratie.

Daarnaast moet je kunnen laten zien dat je technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen. Dit moet, indien mogelijk, ook in deze administratie worden opgenomen. Een van de meest handige manieren om een privacyregister bij te houden is in een (digitaal) verwerkingsregister.

Verplichte maatregelen voor webshops

De verplichte maatregelen waar je als webshop onder de verantwoordingsplicht uit de AVG aan moet voldoen, zijn:

• Er dient bij risicovolle verwerkingen een data protection impact assessment (DPIA) te worden uitgevoerd.
• Alle gegevensverwerkingen moeten in een verwerkingsregister worden opgenomen.
• Je moet uitwerken waarom en op welke manier toestemming aan de consument wordt gevraagd (waar dit nodig of een wettelijk verplichting is).
• Er moet een register zijn waarin alle datalekken worden bijgehouden (link: wat is een datalek).
• Je moet kunnen onderbouwen waarom er geen Data Protection Officer (DPO) is aangesteld.

Webwinkeliers kunnen er ook voor kiezen om extra maatregelen te nemen. Op deze manier kun je beter aantonen dat je aan de verantwoordingsplicht voldoet:

• Het hanteren van een intern beveiligingsbeleid voor je webshop (wat ook inzichtelijk is voor je werknemers, bijvoorbeeld wat je moet doen bij een datalek).
• Het aansluiten bij een gedragscode of belangenorganisatie (zoals Thuiswinkel.org).
• Verantwoording over compliance met de AVG afleggen in het jaarverslag van je webshop of een apart verslag uitbrengen hoe privacy in jouw organisatie is ingeregeld.

Het verwerkingsregister

In het register houd je bij welke categorieën persoonsgegevens je verwerkt (bijvoorbeeld naw-gegevens of BSN), van wie je deze gegevens verwerkt (waaronder klanten of medewerkers) en met welk doel je deze verwerking uitvoert (zoals het afhandelen van een bestelling). Daarnaast moet je het volgende in je register opnemen:

• De gegevens van de verwerkingsverantwoordelijke (in veel gevallen ben jij dit als webwinkelier) en van de DPO, als je die hebt.
• De categorieën van ontvangers aan wie jouw webshop de gegevens nog meer verstrekt. Hierbij dien je ook te specificeren dat er ontvangers zich in andere landen (buiten de EU) of internationale organisaties bevinden.
• Indien mogelijk, de termijnen waarbinnen de persoonsgegevens die je als webshop hebt verzameld, moeten worden gewist.
• Indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Deze plicht geldt niet alleen voor grote organisaties (met meer dan 250 medewerkers); kleinere organisaties moeten dit register toch bijhouden wanneer zij bijzondere persoonsgegevens (zoals medische gegevens) verwerken, risicovolle verwerkingen uitvoeren of structureel persoonsgegevens verwerken. Dus als je bijvoorbeeld klantprofielen opstelt of grote hoeveelheden gegevens verwerkt, is het bijhouden van een register ook voor jouw organisatie verplicht. De AP moet dit register op verzoek kunnen ingezien.

Thuiswinkel Privacytool

Om je te helpen bij het voldoen aan bovenstaande verplichtingen met betrekking tot het verwerkingsregister, heeft Thuiswinkel.org in samenwerking met ICTRecht en PrivacyBlox de Thuiswinkel Privacytool ontwikkeld. Dit is een gratis en exclusief hulpmiddel voor leden waarmee zij zelfstandig de nieuwe wetgeving kunnen toepassen. De Thuiswinkel Privacytool helpt onder meer bij het opzetten en bijhouden van dit register. Gebruik de vragenlijst voor dataverwerkingen en houd al je verwerkingsactiviteiten zorgvuldig bij. Lees hier meer over de Thuiswinkel Privacytool.