09 augustus, 2019
Auteur: Wendy Tran
Waarom een verwerkingsregister?
Op 25 mei 2018 wordt de Wet bescherming persoonsgegevens vervangen door de AVG. Vanaf dat moment hoeven gegevensverwerkingen niet meer aan de Autoriteit Persoonsgegevens gemeld te worden. In plaats daarvan zal uw organisatie vanuit het accountability principe (artikel 5 lid 2 AVG) naleving van de AVG aantoonbaar moeten maken. Het verwerkingsregister draagt hieraan bij. Ook verwerkingsactiviteiten die op dit moment onder het Vrijstellingsbesluit vallen, moeten een plek krijgen in het register. [1]
Wie?
Zowel een verantwoordelijke als een verwerker zal een register van verwerkingsactiviteiten moeten bijhouden.
Wat moet er in het verwerkingsregister?
De verantwoordelijkePer verwerkingsactiviteit zal de verantwoordelijke het volgende moeten registreren:[2]
- de naam en contactgegevens van de verantwoordelijke, eventuele gezamenlijke verwerkingsverantwoordelijken en de Functionaris Gegevensbescherming (de FG);
- de doeleinden voor gegevensverwerking;
- een beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
- de (voorgenomen) categorieën ontvangers;
- een vermelding van een verstrekking van persoonsgegevens aan een derde land of een internationale organisatie;
- de (voorgenomen) bewaartermijnen en
- een algemene beschrijving van de beveiligingsmaatregelen.
De verwerker
Een verwerker zal per verwerkingsactiviteit het volgende moeten registreren:[3]
- de naam en contactgegevens van de verwerker(s), verantwoordelijk(en) en de eventuele FG;
- de categorieën verwerkingsactiviteiten;
- een vermelding van een verstrekking van persoonsgegevens aan een derde land of een internationale organisatie en
- een algemene beschrijving van de beveiligingsmaatregelen.
Waar moet ik op letten?
Wat zijn aandachtspunten bij het opzetten van een verwerkingsregister?
Tijd, budget en steun van de achterban
Zorg ten eerste voor steun vanuit de directie en/of het management. Ten tweede is het beschikbaar maken van zowel tijd en budget essentieel wanneer u een register opzet. Probeer dan ook een realistische inschatting te maken van de benodigde tijd en het budget.
Bij wie kan ik de juiste informatie vinden?
Denk aan systeemverantwoordelijken, afdelingshoofden, et cetera. Maar stel vooral (a) de vraag welke personen binnen de organisatie gegevens moeten verwerken in het kader van hun functie (bijv. de afdeling HR, marketing, IT, enz.) en (b) wie overzicht en inzicht hebben als het gaat om (potentiële) gegevensverwerkende systemen.
Houd rekening met zogenaamde unstructured data. De kans is groot dat er persoonsgegevens zijn waar maar beperkt zicht op is. Bijvoorbeeld zoals in Outlook-folders. Kortom, hou in de gaten of “onafhankelijke” verwerkingen plaatsvinden zonder dat hierover wordt gerapporteerd. Om hierachter te komen -en dit te voorkomen- kan het handig zijn om het privacybewustzijn te vergroten in uw organisatie.
Vormvereisten
Verder dient het register schriftelijk opgesteld te zijn, waaronder in een elektronisch format. Naast het opstellen, moet het register uiteraard ook bijgehouden worden. Hiervoor kunt u het beste een gebruiksvriendelijke en technische omgeving te gebruiken, zoals de softwaretool PMP PrivacyManager. Vervolgens kunt u met behulp van uw IT-afdeling het register opzetten en behouden. Aangezien deze periodiek geüpdatet dient te worden, is extra ondersteuning hierbij geen overbodige luxe. Ook hulpmiddelen kunnen hierbij helpen, zoals automatische meldingen op het moment dat nieuwe soorten gegevens worden verwerkt. Hieronder leest u meer over het beheer van het register.
Wat is er al beschikbaar?
Naast beschikbare kennis van individuen van specifieke afdelingen kunt u zich ook afvragen wat al beschikbaar is aan schriftelijke informatie om uw inventarisatie op gang te zetten. Denk bijvoorbeeld aan het volgende:
- een bestaand beleid op bewaartermijnen
- overzichten van uitgevoerde data-inventarisaties
- een lijst van systeemeigenaren
- een database met klantcontracten
- overzichten die gegevensstromen in kaart brengen
- informatiebeveiligingsrapporten, auditrapportages, PIA of Quick Scan PIA rapportages, enz.
- een overzicht van gemelde gegevensverwerkingen bij de Autoriteit Persoonsgegevens
Beheer van het register
Zodra een register is opgesteld moet het register ook up-to-date worden gehouden. Hiervoor zal een procedure opgezet moeten worden. Deze procedure moet in ieder geval rekening houden met de volgende vraagstukken. Wie zijn verantwoordelijk voor het updaten van het register (inhoudelijk, functioneel, voor het geheel of voor onderdelen)? Wie zijn verantwoordelijk voor het aanpassen van gegevensstromen, procedures, enzovoorts? En wie passen persoonsgegevens aan en met welke frequentie vindt dit plaats? Wat zijn “triggers” voor aanpassingen van persoonsgegevens? Enzovoort.
Data mapping
Verwant aan het vullen van het verwerkingsregister is data mapping. Hierbij worden alle gegevensverwerkingen en -stromen binnen, van en naar de organisatie in kaart gebracht. Afhankelijk van de aanpak zal data mapping vaak meer inzicht geven en een betere basis voor compliance vormen. Softwaretools kunnen u helpen bij dit inventarisatieproces.
PMP PrivacyManager
Met de softwaretool PMP PrivacyManager kunt u eenvoudig uw verwerkingsactiviteiten overzien. De tool bestaat uit het stappenplan Grip op Privacy, een uitgebreide set aan formats en PIA- en modelprocedures, en software voor monitoring en beheer.
Wil u eens met ons over dit onderwerp sparren? Neem dan gerust contact met ons op.
Referenties
[1] De AVG bevat een uitzondering voor organisaties die minder dan 250 personen in dienst hebben (“MKB-vrijstelling”). Deze uitzondering vervalt echter indien bijzondere persoonsgegevens worden verwerkt. Dit betekent: als de verwerking waarschijnlijk privacyrisico’s voor betrokkenen met zich meebrengt en/of de verwerking niet incidenteel plaatsvindt (zie artikel 30 lid 5 AVG). De uitzondering is dus alleen op incidentele verwerkingen van toepassing. Deze kan ook niet van toepassing zijn, bijvoorbeeld bij alle organisaties met meer dan 250 medewerkers. In dat geval moeten ook incidentele verwerkingen in het verwerkingsregister worden opgenomen.
[2] Zie nader artikel 30 lid 1 AVG.
[3] Zie nader artikel 30 lid 2 AVG.