Verwerkingsregister opstellen?
Aanbevelingen Autoriteit Persoonsgegevens en praktische tips
Van groot commercieel bedrijf tot MKB’er en van ziekenhuis tot zzp’er in de zorg: iedereen die op structurele basis persoonsgegevens verwerkt moet een verwerkingsregister hebben. Deze documentatieplicht is nieuw onder de AVG. Veel cliënten die wij hierin adviseren ervaren het als een administratieve last en tasten in het duister als het gaat om de precieze invulling en opzet van het register. Er is geen voorbeeld van een register gepubliceerd door de Autoriteit Persoonsgegevens (AP). De AP is nu echter met een aantal ‘concrete aanbevelingen’ voor verwerkingsregisters gekomen.
Wat is een verwerkingsregister?
Uit art. 30 van de AVG volgt de verplichting dat iedere organisatie die gegevens verwerkt in een register moet bijhouden welke persoonsgegevens zij verwerkt, voor welk doel, van welke categorieën betrokkenen, wie de ontvangers zijn, et cetera. Het opstellen van een verwerkingsregister geeft inzicht in de verwerkingsactiviteiten binnen je organisatie. Bovendien is het verwerkingsregister één van de middelen om aan te tonen dat je voldoet aan de basisbeginselen van privacy, wat een andere verplichting is uit de AVG (de verantwoordingsplicht).
Aanbevelingen Autoriteit Persoonsgegevens
De aanbevelingen van de AP zijn gekomen naar aanleiding van het door haar verrichtte steekproefsgewijze onderzoek in de private sector: voor de onderzochte bedrijven kwamen de tips dus te laat. Ik zal de vijf aanbevelingen van de AP kort bespreken. Daarna geef ik een aantal tips voor het opstellen van het verwerkingsregister.
1. Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren.
Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen. In de AVG staat al expliciet dat je de verwerkingsdoeleinden in het register moet opnemen en ‘indien mogelijk’ de bewaartermijnen. Hoewel het vaststellen van bewaartermijnen een lastige klus is, geeft het feit dat je deze onderwerpen in het register moet opnemen in de praktijk niet veel problemen.
2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
Dit staat letterlijk in de AVG en is daarom een open deur. In onze ervaring is dit voor organisaties geen struikelblok. De verwerkingsverantwoordelijke is degene die het doel en middelen van een verwerking bepaalt. Bijvoorbeeld een school ten aanzien van haar leerlinggegevens of een webshopexploitant ten aanzien van zijn klantgegevens. De verwerkingsverantwoordelijke is te onderscheiden van de verwerker, die persoonsgegevens verwerkt ten behoeve van de verwerkingsverantwoordelijke, zoals een IT leverancier. Ook verwerkers moeten een verwerkingsregister hebben. Een verwerker moet in het register de contactgegevens van alle verwerkingsverantwoordelijken voor wie hij gegevens verwerkt opnemen.
3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
De AVG stelt geen expliciete eisen aan de inrichting en/of het uiterlijk van het register. Hoewel dit geen wettelijke verplichting is, acht de AP dit kennelijk wel belangrijk. Dit vraagt om een kritische blik op de indeling en de opzet van je register. Kun je daaruit opmaken welke verwerkingsactiviteiten er binnen je organisatie plaatsvinden? De aanbeveling blijft verder helaas weinig concreet en bevat geen tips waardoor je het register overzichtelijk kunt maken.
4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register.
Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen. Dit is een praktische tip van de AP! De AVG schrijft niet voor dat je het systeem of de database waarin de gegevens staan opgeslagen moet opnemen in het verwerkingsregister. Als een betrokkene om inzage of verwijdering van zijn gegevens vraagt is het handig om een overzicht te hebben van waar alle gegevens staan opgeslagen, zodat je makkelijker aan dit verzoek kunt voldoen.
5. Maak duidelijk welk doel bij welke verwerking hoort.
Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende. Met deze laatste aanbeveling geeft de AP enige richting aan de mate van detail waarmee je het register moet inrichten. Je moet alle verwerkingen die binnen een afdeling plaatsvinden afzonderlijk noemen in je verwerkingsregister. Voorbeelden van verwerkingen zijn: klantenregistratie, relatiebestand en het opstellen van rapportages. Per verwerking moet je aangeven welke persoonsgegevens je verwerkt en voor welk doel.
Tips voor het opstellen van een overzichtelijk verwerkingsregister
- verwerkingsregister. De organisatie moet het verwerkingsregister updaten wanneer bepaalde gegevensverwerkingen wijzigen of bijkomen binnen je organisatie.
- Kies voor een systeemgerichte aanpak of voor een procesgerichte aanpak. Bij een systeemgerichte aanpak bekijk je per systeem welke gegevensverwerkingen daarin plaatsvinden. Bijvoorbeeld het personeelsregistratiesysteem of het marketingsysteem. Bij een procesgerichte insteek bekijk je de verschillende gegevensverwerkingen per proces binnen de organisatie. Denk daarbij aan: het afhandelen van bestellingen, werving en selectie en controle van werknemers.
- Werk met verschillende regels per verwerking, zodat duidelijk blijkt welke persoonsgegevens je voor welk(e) doeleinde(n) verwerkt. Deze tip is relevant gelet op de laatste aanbeveling van de AP.
- Werk met verschillende tabbladen in het verwerkingsregister (denk aan: een tabblad personeelsadministratie, een tabblad facilitair, een tabblad financiële administratie, etc.) om het overzichtelijk te houden.