Het register van verwerkingsactiviteiten is een overzicht van alle verwerkingen van persoonsgegevens die binnen een organisatie plaatsvinden. Het is een verplicht document volgens art. 30 van de AVG. Elke organisatie die persoonsgegevens verwerkt, moet kunnen aantonen welke gegevens worden verwerkt, waarom dit gebeurt en hoe deze gegevens worden beschermd. Het register helpt hierbij door alle verwerkingen inzichtelijk te maken en verantwoording af te leggen aan toezichthouders, zoals de Autoriteit Persoonsgegevens. In de dagelijkse praktijk helpt het register bij het inzicht in risico’s van de gegevensverwerking, het ondersteunt bij het uitvoeren van Data Protection Impact Assessments (DPIA’s), en maakt het eenvoudiger om inzageverzoeken of datalekken goed af te handelen.

Volgens de AVG moet het register in ieder geval de volgende informatie bevatten:

›naam en contactgegevens van de organisatie en eventueel de Functionaris Gegevensbescherming;

›doeleinden van de verwerking, dus waarom de gegevens worden verzameld;

›categorieën van betrokkenen, zoals inwoners, medewerkers of leveranciers;

›categorieën van persoonsgegevens, bijvoorbeeld naam, adres, geboortedatum of e-mailadres;

›categorieën van ontvangers, zoals andere overheden of dienstverleners;

›doorgiften aan derde landen of internationale organisaties buiten de Europese Unie, als dit van toepassing is;

›bewaartermijnen voor de verschillende soorten gegevens;

›beveiligingsmaatregelen die zijn genomen om de gegevens te beschermen; en

›eventuele verwerkers die namens de organisatie persoonsgegevens verwerken.

Het register wordt meestal beheerd door de Privacy Officer, in samenwerking met de afdelingen die persoonsgegevens verwerken. Elke afdeling is zelf verantwoordelijk voor het aanleveren van juiste en actuele informatie over de verwerkingen waarvoor zij verantwoordelijk is. Ook voor het register geldt dat uiteindelijk het College van B&W verantwoordelijk is voor de aanwezigheid en het onderhoud.

De VNG heeft een vooraf ingevuld verwerkingsregister voor gemeenten opgesteld. Hierin zijn de meest voorkomende gemeentelijke verwerkingen al opgenomen, zoals het verwerken van persoonsgegevens voor burgerzaken, belastingen, Wmo, en leerplicht. Gemeenten kunnen dit model gebruiken als basis en het aanpassen aan hun eigen situatie. Zo hoeven ze elke verwerking niet helemaal opnieuw te beschrijven, maar kunnen ze controleren, aanvullen en actualiseren wat op hun organisatie van toepassing is.