Voor verwerkingsverantwoordelijken en verwerkers van persoonsgegevens met 250 of meer werknemers of die risicovolle verwerkingen doen of die niet-incidentele verwerkingen verrichten, dienen naast de gewone administratie ook registers van verwerkingsactiviteiten te worden bijgehouden. Deze dienen te voldoen aan de eisen van artikel 30 AVG. Deze nadere registers dienen altijd actueel en volledig te zijn.
Vanwege het brede toepassingsbereik van deze regeling, zal deze plicht voor vrijwel ieder bedrijf gelden. Het is niet zo dat deze plicht uitsluitend voor grotere bedrijven geldt. Kleinere organisaties die bijvoorbeeld met medische persoonsgegevens werken, zoals kleinere zorginstellingen of huisartspraktijken, zullen dus per definitie deze extra registers moeten gaan vormgeven. Ook kan gedacht worden aan marketeers die structureel door middel van online tracking persoonsgegevens verwerken, waarmee levensstijlen van personen in kaart kunnen worden gebracht.
Uiteraard zijn er vele voorbeelden te bedenken die meer risicovol zijn dan de gemiddelde klanten- of personeelslijst. Daarnaast is het bijhouden van een register ook noodzakelijk voor niet-incidentele verwerkingen.
Het bijhouden van de verwerkingsactiviteiten in een verwerkingsregister is de meest ingrijpende nieuwe plicht, die geïntroduceerd is door de AVG.
Dit register bevat de verwerkingsactiviteiten van de betreffende verwerkingsverantwoordelijke. Ook de verwerker, die voor de verwerkingsverantwoordelijke verwerkingsactiviteiten verricht (en die wij door de Wbp gewend zijn om ‘bewerker’ te noemen), houdt een register bij. Verder mag een register van verwerkingsactiviteiten zowel op papier als digitaal worden bijgehouden.