fbpx

“Ga terug naar Start” -> het register van verwerkingen (verwerkingsregister)

Juiste implementatie van de AVG kan alleen maar als je ook weet wat je verwerkt en waarvoor. Met andere woorden: heb je alle processen en de verwerkingen daarbinnen goed in beeld? Het antwoord is vaak: “NEE”. 

 

Wat is een verwerkingsregister?

Artikel 30 AVG vermeldt het volgende: Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden.

Je moet dus, wanneer je iemands persoonsgegevens verwerkt, een register bijhouden van de activiteiten waarbinnen je persoonsgegevens gebruikt. Dit register is de basis van de verantwoordingsplicht.

 

Wanneer is het verplicht?

Het verwerkingsregister is vaak verplicht, maar niet altijd. Wanneer is dit volgens de AVG een verplichting?

  • Als een organisatie meer dan 250 medewerkers heeft = sowieso verplicht
  • Als een organisatie minder dan 250 medewerkers heeft = verplicht als
    • De verwerking van persoonsgegevens niet incidenteel is (dus als je dit bijna dagelijks doet);
    • Als men persoonsgegevens verwerkt die een hoog risico inhouden voor de rechten en vrijheden van de betrokkenen;

Of

  • Als er “bijzondere” persoonsgegevens worden verwerkt

Je kan dus concluderen dat je als zorgondernemer altijd een verwerkingsregister moet bijhouden (omdat je altijd bijzondere persoonsgegevens verwerkt, namelijk medische gegevens). Deze verplichting bestaat in dat geval ongeacht of je bedrijf meer of minder dan 250 werknemers heeft!

Bij een school geldt hetzelfde. Hier worden bijvoorbeeld bijzondere gegevens verwerkt van de medewerkers (financiële gegevens, bsn, ID-bewijs). Bovendien zijn in beide gevallen de verwerkingen niet incidenteel.

Het zijn in de praktijk dus maar weinig bedrijven die geen verplichting hebben om een verwerkingsregister bij te houden.

En al zou het niet verplicht zijn, het is een heel mooi startdocument voor jezelf om een compleet beeld te hebben hoe de gegevensstromen zijn, wie allemaal toegang heeft tot welke gegevens en welke derden die gegevens bijvoorbeeld ontvangen. Het is de belangrijkste basis van je AVG-compliance en bovendien één van de eerste documenten die de Autoriteit Persoonsgegevens wil zien bij een onderzoek.

 

Wat moet erin staan?

Hoe het register eruit komt te zien bepaal je zelf. De AVG zegt alleen welke informatie daarin moet staan. Dat is als volgt:

  • Naam en contactgegevens van de organisatie, van de FG en eventuele internationale organisaties met wie je persoonsgegevens deelt;
  • Doeleinden = doelen waarvoor je persoonsgegevens verwerkt (per proces)
  • Betrokkenen = categorieën van personen van wie je gegevens verwerkt
  • Persoonsgegevens = categorieën van persoonsgegevens die binnen het proces verwerkt worden
  • Bewaartermijn
  • Ontvangers = categorieën van ontvangers aan wie de persoonsgegevens worden verstrekt
  • Als er gegevens worden verstrekt buiten de EU, dan moet dit er ook in staan
  • Technische en organisatorische maatregelen die zijn genomen om de persoonsgegevens te beveiligen (algemene beschrijving)

Meer informatie hoeft dus niet, maar dat is soms wel handig voor het totaaloverzicht. Zo wil je bijvoorbeeld vaak weten of binnen een proces een externe ontvanger ook een verwerker is en of met die partij een verwerkersovereenkomst is gesloten. Of je wil naast het doel ook de wettelijke grondslag vastleggen, zodat je tijdens het invullen al gedwongen wordt na te denken over of de verwerking onder 1 van de grondslagen te plaatsen is. Waarom dit geen verplichting is vind ik zelf een aparte keuze. Helemaal omdat benoemen van de grondslagen in de privacyverklaring wel verplicht is.


Verwerkingsregister van de AP zelf

Nu zou je denken, als toezichthouder doe je het zelf vast uitstekend! Auditconnect heeft daarom in 2019 het verwerkingsregister van de AP opgevraagd om te kijken hoe zij nu zelf die verplichting interpreteren.

Wat kunnen we daaraan zien en daarvan leren?

EXCEL
De AP heeft ervoor gekozen om het register gewoon bij te houden in een Excelbestand. Prima natuurlijk! Ook ik adviseer kleinere bedrijven altijd om in Excel te starten. Het is makkelijk in gebruik en vaak gratis omdat je de software al in huis hebt.

AANVULLENDE INFORMATIE
De AP heeft er ook voor gekozen om aanvullende informatie in het register op te nemen, naast de bij wet verplichte onderdelen. Zo staat in hun register ook de wettelijke grondslag die aan een verwerkingsdoel is verbonden en welke IT-applicatie wordt gebruikt.

HOE GEDETAILLEERD?
De AP is niet eenduidig in het wel of niet uitwerken van verwerkingen op procesniveau. Soms zijn werkzaamheden geclusterd en bevatten meerdere processen. Soms is wel voor een apart proces een aparte regel uitgewerkt.

Het is dus raadzaam om extra velden in het register op te nemen, zodat je een goed totaal overzicht hebt en het verwerkingsregister echt kan dienen als de basis van je compliance. Daarnaast is denk ik niet met overtuiging te zeggen dat je verwerkingen altijd op procesniveau/ teamniveau of op taakniveau zou moeten opnemen. Zolang doel en grondslag hetzelfde zijn, zou je processen goed kunnen clusteren binnen 1 regel. Zolang er een andere grondslag geldt op een bepaald moment in het proces, dan is het goed om dat proces op te splitsen en een nieuwe regel in te vullen.


Hoe moet het eruit zien?

Begin gewoon met een excel-bestand. Tot een middelgrote onderneming kan dat prima. Er zijn op internet veel voorbeelden van registers in excel te vinden. Inmiddels zijn er ook veel tools beschikbaar waarbij je je register op allerlei andere manieren kunt inrichten. Het is maar net wat jij het handigst vindt om mee te werken en hoeveel geld je erin zou willen investeren.


Hoe pak ik dat aan?

Ga in gesprek met de personen die alles weten van het proces, die zelf de handelingen verrichten en besluiten nemen. Die weten namelijk precies welke persoonsgegevens bij ieder processtapje worden gebruikt en waarom. Ga desnoods samen achter een PC zitten en vul het register dan ook meteen samen in.


Ingevuld en dan?

Je bedrijf is continu in beweging, processen veranderen of er komen processen en/of verwerkingen bij. Nieuwe diensten of producten misschien of andere leveranciers. Dat betekent dat je verwerkingsregister ook continu moet worden bijgewerkt. Alleen een actueel register kan je daadwerkelijk helpen met het borgen van de privacy binnen je hele bedrijf. Zorg dus dat je 1x per jaar opnieuw het register een update geeft en dat je ook kunt aantonen dat die update heeft plaatsgevonden.

Hulp nodig bij het opzetten en invullen van een verwerkingsregister? Plan nu een gratis EZ-Consult van 30 minuten! Tijdens dit gesprek vertel ik je hoe jij het register het beste kunt opzetten en hoe ik je daarbij kan ondersteunen.
Plan nu meteen via deze link: PLAN