Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 is het voor organisaties verplicht om “een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden” bij te houden. Als een organisatie persoonsgegevens verwerkt, moet zij onder de huidige wetgeving deze verwerking melden bij de Autoriteit Persoonsgegevens. De Autoriteit houdt een openbaar register bij van alle meldingen. Op die manier is bekend welke organisatie persoonsgegevens verwerkt en met welk doel.
Vanaf 25 mei 2018 hoeven organisaties de gegevensverwerkingen niet meer te melden bij de Autoriteit, maar hebben zij conform artikel 30 AVG een documentatieplicht. Dit houdt in dat een organisatie met documenten moet kunnen aantonen dat zij de juiste organisatorische en technische maatregelen heeft genomen om aan de wet te voldoen (accountability). Let op: de meldingsplicht voor het verwerken van gegevens is iets anders dan de meldplicht datalekken. Deze meldplicht vervalt niet!
De verantwoordelijke en de verwerker zijn verplicht om een register/documentatie bij te houden van alle verwerkingen die zij uitvoeren (documentatieplicht). Wat moet er in dat register staan? Het verwerkingsregister van de verantwoordelijke bevat de volgende gegevens:
De verwerker moet ook een verwerkingsregister bijhouden van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van de verantwoordelijke hebben verricht. In dit register moet onder meer het volgende worden opgenomen: