Register van verwerkingsactiviteiten

De AVG verplicht organisaties om een register van verwerkingsactiviteiten bij te houden. In dit tweede deel van de emailreeks 'Hoe staat uw organisatie er sinds de AVG voor?' bespreek ik een aantal belangrijke punten waar u aan moet denken wanneer u een dergelijk register inricht.

Register van verwerkingsactiviteiten

Het opzetten van een register van verwerkingsactiviteiten is een tijdrovende en ingewikkelde klus. Dit heeft twee oorzaken:

  1. Onduidelijkheid over de inhoud en het niveau van detail dat in het register moet worden opgenomen
  2. Gebrek aan kennis, overzicht en beschikbare middelen om zo’n register te vullen

Vragen die relevant zijn bij het maken van een register:

  • Welke informatie wilt u opnemen in het register?
  • Wilt u bijvoorbeeld ook informatie erin opnemen waarmee u makkelijk(er) gehoor kunt geven aan verzoeken van betrokkenen?
  • Hoe komt u aan alle informatie om het register te vullen, wat is de aanpak?
  • Gaat u uw collega’s op afdelingsniveau interviewen, of stuurt u vragenlijsten naar collega’s uit in de hoop dat deze volledige en juiste informatie over de verwerking invullen?
  • Wie beheert het register, wie draagt er verantwoordelijkheid voor?

Vorm van het register

Ten eerste moet de organisatie een beslissing maken over de vorm van het register van verwerkingsactiviteiten. Voor organisaties met een beperkt aantal verwerkingen kan een Excel overzicht uitkomst bieden. Wanneer organisaties echter wereldwijd opereren en gegevens tussen vele ondernemingen van een organisatie gedeeld worden, kan het lastig zijn een overzichtelijke inventarisatie in Excel te creëren. Voor dergelijke organisaties kan privacy managementsoftware een oplossing bieden.

Inhoud van het register

Als de vorm eenmaal gekozen is, moet de organisatie een beslissing nemen over de inhoud van het register. Voldoen aan de registerplicht levert een vinkje achter artikel 30 AVG op, maar dat zegt niets over naleving van de gehele AVG. Een register heeft nut en biedt overzicht wanneer u er de voor uw organisatie relevante informatie (bovenop hetgeen verplicht is) in opneemt, zoals bijvoorbeeld de locatie van de gegevensdragers. Wanneer u een verzoek van een betrokkene krijgt, kunt u via het register snel achterhalen waar de gegevens van die betreffende categorie betrokkene is opgeslagen.

Ook het registreren van de grondslag bij de inventarisatie is niet verplicht, maar wanneer er op enig moment een vraag van ofwel een betrokkene ofwel een toezichthouder komt naar de grondslag van een bepaalde verwerkingen, moet de organisatie deze toch kunnen overleggen. Het is daarom van belang goed na te denken over de inhoud van het register van verwerkingsactiviteiten.

Breng alle persoonsgegevens in kaart

Daarna volgt het daadwerkelijk in kaart brengen van alle persoonsgegevens die de organisatie verwerkt. Voor veel organisaties is het detailniveau dat wordt aangebracht in het register ten aanzien van de verwerkingsactiviteiten mede afhankelijk van de risk appetite. De inrichting van een organisatie speelt hier tevens een rol. Als uw organisatie bijvoorbeeld veel systemen gebruikt en een duidelijk IT-landschap voorhanden heeft, kan een aanvliegroute voor gegevensinventarisatie vanuit systemen wenselijk zijn.

Een aanvliegroute die ook vaak wordt genomen voor het inventariseren van gegevensverwerkingen, is een inventarisatie vanuit processen of procedures per afdeling. Zo kan de organisatie helder en overzichtelijk per afdeling in kaart brengen wat de verwerkingsactiviteiten zijn. Denk bijvoorbeeld bij de afdeling HR aan de processen werving & selectie, het bijhouden van een personeelsdossier en het monitoren van telefoongebruik.

Pak het gestructureerd aan

Het opstellen en bijhouden van het register van verwerkingsactiviteiten vergt een goede voorbereiding en gestructureerde aanpak. Om de vorm en inhoud te bepalen, het detailniveau vast te stellen, te beoordelen op welke manier de inventarisatie kan plaatsvinden en vast te stellen hoe het register bijgehouden dient te worden.

Heeft u al keuzes gemaakt omtrent de vorm, de inhoud en de vulling van uw register?

Considerati heeft ruime ervaring met het creëren en vullen van registers van verwerkingsactiviteiten. Neem gerust contact met ons op voor meer informatie.

Bart Schermer Chief Knowledge Officer