AVG & Register van verwerkingen

De AVG verplicht organisaties om in kaart te brengen welke persoonsgegevens jouw organisatie verwerkt. De gedachte hierachter is dat organisaties zicht hebben op de persoonsgegevens die worden verwerkt. Pas dan kan je immers je verantwoordelijkheid nemen voor de bescherming ervan. Zowel bij de verantwoordelijke als bij de verwerker ligt een verplichting om dit register bij te houden.

In het register moet een actueel en volledig overzicht staan van de persoonsgegevens die jouw organisatie verwerkt. Per verzameling moet de nodige informatie worden bijgehouden, zoals de grondslag, doelbinding, wie eventuele verwerkers zijn en hoe lang gegevens mogen worden bewaard.

Wat moet ik nu precies doen?

De wet geeft niet aan hoe het register binnen je organisatie moet worden ingericht. Als het maar ‘schriftelijk’ is. Let daarom op de volgende zaken:

  1. Kies een passende vorm voor het register.

De meeste mensen beginnen met een spreadsheet. Maar hoe groter de organisatie, of hoe meer verzamelingen bij diverse afdelingen liggen, hoe groter de behoefte aan gespecialiseerde tools. Zoals WeDoPrivacy.

  1. Ga na hoe je de volledigheid van het register kunt controleren.

Als privacy officer kan je er niet van uitgaan dat iedereen uit zichzelf komt melden waar zich persoonsgegevens bevinden. Misschien realiseren jouw collega’s zich niet altijd dat zij melding moeten maken van het gebruik van persoonsgegevens ergens binnen de organisatie.

Uit ervaring weten wij waar persoonsgegevens zich bevinden. Aan de kant van de generieke bedrijfsvoeringsprocessen zul je persoonsgegevens vinden bij:

  • Personeelszaken (werving & selectie, arbeidsgerelateerde administraties);
  • De ICT-afdeling (smoelenboek, active directory, ICT servicedesk);
  • Facilitaire Zaken (camera’s, klachtenafhandeling, bezoekersregistratie).

Aan de kant van de primaire processen kunnen zich ook persoonsgegevens bevinden. Dit is natuurlijk sterk afhankelijk van het type organisatie. Of je nu een private of publieke organisatie bent, er zijn altijd ‘klanten’ of ‘stakeholders’ van wie persoonsgegevens worden bijgehouden. En vergeet je eigen medewerkers niet!

  1. Geef aan wie verantwoordelijk is voor het vullen van het register.

Het maakt de AVG niet uit wie intern het register daadwerkelijk vult. Je organisatie is wel verplicht om een volledig register bij te houden. Het is dan ook logisch om, zeker bij grotere organisaties, het register decentraal te laten vullen (bijvoorbeeld één aanspreekpunt bij HR, één aanspreekpunt bij ICT, één aanspreekpunt binnen primair proces A, et cetera).

Het past wel bij de rol van privacy officer of de Functionaris voor Gegevensbescherming (FG) om te controleren of het register wel goed is gevuld. En als dit niet zo is vervolgacties te initiëren.

  1. Denk na over hoe je de actualiteit van het register kunt waarborgen.

Je organisatie staat niet stil. De dag nadat je organisatie met veel pijn en moeite versie 1.0 van het register heeft afgerond, is het waarschijnlijk alweer achterhaald. Hoe zorg je voor de actualiteit van dit register?

Hoe groter je organisatie en hoe meer veranderingen, hoe ingewikkelder het is. Naast de verantwoordelijkheid voor het vullen van het register moet je met je organisatie ook afspraken maken over het bijhouden van het register. Het hebben van een register is niet een ‘projectje’ dat je kunt afronden, het is echt een permanente beheertaak.

De controle op de actualiteit kan ook een ‘beheertaak’ voor de privacy officer zijn, maar kan ook bij het lijnmanagement belegd worden. Hoe vaak je dit doet, hangt mede af van de hoeveelheid wijzigingen, maar een controle minimaal eens per kwartaal is voor veel organisaties aan te bevelen. Dit kun je zo ook instellen in WeDoPrivacy.

Zorg bij het opstellen van het register daarom ook meteen voor een beheerprocedure, waarin bijvoorbeeld de volgende zaken zijn opgenomen.

  • Wie is verantwoordelijk voor het updaten en controleren van het register?
  • Met welke frequentie vindt dit plaats?
  • Wat zijn “triggers” voor aanpassingen van persoonsgegevens?

Implementatietips!

Tip 1

Ga niet het wiel opnieuw uitvinden. Er zijn altijd collega organisaties die net als jij worstelen met de vraag over hoe ze een register moeten inrichten. Waarom werk je niet samen? Bespreek met elkaar welke opzet is gekozen, waar je allemaal persoonsgegevens hebt aangetroffen en hoe men met grondslagen omgaat. Door het samenwerken en samen delen kom je sneller tot een goede basis. WeDoPrivacy helpt je bovendien op weg met templates. Deze templates hebben we gemaakt in de praktijk, bij dezelfde organisaties als de jouwe.

Tip 2

Wat je moet vastleggen wordt deels in de wet bepaald. Tot op welk detailniveau moet je vastleggen welke persoonsgegevens je allemaal verwerkt? Een praktisch voorstel: in ieder geval zal je dit moeten doen tot op het niveau waarop er verschil zit in de grondslagen. Een verdere detaillering mag altijd, maar dit moet wel leiden tot aanvullende stuurinformatie. In een gemiddeld systeem is voor het verwerken van NAW-gegevens een vergelijkbare grondslag, zitten deze in hetzelfde systeem en worden deze met dezelfde verwerkers gedeeld. Dan is het niet nodig om aparte rijen te maken voor ‘naam’, ‘adres’ en ‘woonplaats’, maar kan dit gewoon onder één noemer.

Tip 3

Het register is nooit af. Jouw organisatie is verplicht om een actueel inzicht te geven in verwerkingen. Het beheer daarvan is daarbij cruciaal. Vaak zitten juist in nieuwe verwerkingen nieuwe risico’s. Een goede beheerprocedure is dan ook erg belangrijk. Als je je register in WeDoPrivacy zet, wordt dit beheer een stuk makkelijker.