De ins en outs van het verwerkingsregister (artikel 30 AVG)

blogger: Wendy Tran

Per 25 mei 2018 moet uw organisatie compliant zijn met de Algemene Verordening Gegevensbescherming (hierna: AVG). Het is dan ook raadzaam om tijdig te beginnen met maatregelen om “AVG-proof” te worden en een verwerkingsregister op te zetten. In de blog Tips & Tricks: maak uw organisatie tijdig AVG-proof introduceerden we al eerder de register- en documentatieplicht die u heeft onder de AVG. Het opzetten en bijhouden van het verwerkingsregister maakt onderdeel uit van deze register- en documentatieplicht.

 

verwerkingsregister

Waarom een verwerkingsregister?

Op 25 mei 2018 wordt de Wet bescherming persoonsgegevens vervangen door de AVG. Vanaf dat moment hoeven gegevensverwerkingen niet meer aan de Autoriteit Persoonsgegevens gemeld te worden. In plaats daarvan zal uw organisatie vanuit het accountability principe (artikel 5 lid 2 AVG) naleving van de AVG aantoonbaar moeten maken. Het verwerkingsregister draagt hieraan bij. Ook verwerkingsactiviteiten die op dit moment onder het Vrijstellingsbesluit vallen, moeten een plek krijgen in het register. [1]

 

Wie?

Zowel een verantwoordelijke als een verwerker zal een register van verwerkingsactiviteiten moeten bijhouden.

 

Wat moet er in het verwerkingsregister?

De verantwoordelijke

Per verwerkingsactiviteit zal de verantwoordelijke het volgende moeten registreren:[2]

  • de naam en contactgegevens van de verantwoordelijke, eventuele gezamenlijke verwerkingsverantwoordelijken en de Functionaris Gegevensbescherming (de FG);
  • de doeleinden voor gegevensverwerking;
  • een beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
  • de (voorgenomen) categorieën ontvangers;
  • een vermelding van een verstrekking van persoonsgegevens aan een derde land of een internationale organisatie;
  • de (voorgenomen) bewaartermijnen en
  • een algemene beschrijving van de beveiligingsmaatregelen.

 

De verwerker

Een verwerker zal per verwerkingsactiviteit het volgende moeten registreren:[3]

  • de naam en contactgegevens van de verwerker(s), verantwoordelijk(en) en de eventuele FG;
  • de categorieën verwerkingsactiviteiten;
  • een vermelding van een verstrekking van persoonsgegevens aan een derde land of een internationale organisatie en
  • een algemene beschrijving van de beveiligingsmaatregelen.

 

Waar moet ik op letten?

Wat zijn aandachtspunten bij het opzetten van een verwerkingsregister?

 

Tijd, budget en steun van de achterban

Zorg ten eerste voor steun vanuit de directie en/of het management. Ten tweede is het beschikbaar maken van zowel tijd en budget essentieel wanneer u een register opzet. Probeer dan ook een realistische inschatting te maken van de benodigde tijd en het budget.

 

Bij wie kan ik de juiste informatie vinden?

Denk aan systeemverantwoordelijken, afdelingshoofden, et cetera. Maar stel vooral (a) de vraag welke personen binnen de organisatie gegevens moeten verwerken in het kader van hun functie (bijv. de afdeling HR, marketing, IT, enz.) en (b) wie overzicht en inzicht hebben als het gaat om (potentiële) gegevensverwerkende systemen.

Houd rekening met zogenaamde unstructured data. De kans is groot dat er persoonsgegevens zijn waar maar beperkt zicht op is. Bijvoorbeeld zoals in Outlook-folders. Kortom, hou in de gaten of “onafhankelijke” verwerkingen plaatsvinden zonder dat hierover wordt gerapporteerd. Om hierachter te komen -en dit te voorkomen- kan het handig zijn om het privacybewustzijn te vergroten in uw organisatie.

 

Vormvereisten

Verder dient het register schriftelijk opgesteld te zijn, waaronder in een elektronisch format. Naast het opstellen, moet het register uiteraard ook bijgehouden worden. Hiervoor kunt u het beste een gebruiksvriendelijke en technische omgeving te gebruiken, zoals de softwaretool PMP PrivacyManager. Vervolgens kunt u met behulp van uw IT-afdeling het register opzetten en behouden. Aangezien deze periodiek geüpdatet dient te worden, is extra ondersteuning hierbij geen overbodige luxe. Ook hulpmiddelen kunnen hierbij helpen, zoals automatische meldingen op het moment dat nieuwe soorten gegevens worden verwerkt. Hieronder leest u meer over het beheer van het register.

 

Wat is er al beschikbaar?

Naast beschikbare kennis van individuen van specifieke afdelingen kunt u zich ook afvragen wat al beschikbaar is aan schriftelijke informatie om uw inventarisatie op gang te zetten. Denk bijvoorbeeld aan het volgende:

  • een bestaand beleid op bewaartermijnen
  • overzichten van uitgevoerde data-inventarisaties
  • een lijst van systeemeigenaren
  • een database met klantcontracten
  • overzichten die gegevensstromen in kaart brengen
  • informatiebeveiligingsrapporten, auditrapportages, PIA of Quick Scan PIA rapportages, enz.
  • een overzicht van gemelde gegevensverwerkingen bij de Autoriteit Persoonsgegevens

 

Beheer van het register

Zodra een register is opgesteld moet het register ook up-to-date worden gehouden. Hiervoor zal een procedure opgezet moeten worden. Deze procedure moet in ieder geval rekening houden met de volgende vraagstukken. Wie zijn verantwoordelijk voor het updaten van het register (inhoudelijk, functioneel, voor het geheel of voor onderdelen)? Wie zijn verantwoordelijk voor het aanpassen van gegevensstromen, procedures, enzovoorts? En wie passen persoonsgegevens aan en met welke frequentie vindt dit plaats? Wat zijn “triggers” voor aanpassingen van persoonsgegevens? Enzovoort.

 

Data mapping

Verwant aan het vullen van het verwerkingsregister is data mapping. Hierbij worden alle gegevensverwerkingen en -stromen binnen, van en naar de organisatie in kaart gebracht. Afhankelijk van de aanpak zal data mapping vaak meer inzicht geven en een betere basis voor compliance vormen. Softwaretools kunnen u helpen bij dit inventarisatieproces.

 

PMP PrivacyManager

Met de softwaretool PMP PrivacyManager kunt u eenvoudig uw verwerkingsactiviteiten overzien. De tool bestaat uit het stappenplan Grip op Privacy, een uitgebreide set aan formats en PIA- en modelprocedures, en software voor monitoring en beheer. Meer informatie? Overleg met één van onze experts: + 31 (0) 85 104 38 66, of mail naar info@pmpartners.nl.

 

[1] De AVG bevat een uitzondering voor organisaties die minder dan 250 personen in dienst hebben (“MKB-vrijstelling”). Deze uitzondering vervalt echter indien  bijzondere persoonsgegevens worden verwerkt. Dit betekent: als de verwerking waarschijnlijk privacyrisico’s voor betrokkenen met zich meebrengt en/of de verwerking niet incidenteel plaatsvindt (zie artikel 30 lid 5 AVG). De uitzondering is dus alleen op incidentele verwerkingen van toepassing. Deze kan ook niet van toepassing zijn, bijvoorbeeld bij alle organisaties met meer dan 250 medewerkers. In dat geval moeten ook incidentele verwerkingen in het verwerkingsregister worden opgenomen.
[2] Zie nader artikel 30 lid 1 AVG.
[3] Zie nader artikel 30 lid 2 AVG.

13 reacties

  1. Lifan Shiu schreef:

    Oh jee… in de register van verwerkingsactiviteiten staan uiteraard ook persoonsgegevens. Nu moet de register ook AVG proof (de nodige technische/ organisatorische maatregelen treffen) worden gemaakt :P

  2. Onno schreef:

    PM partners heeft een overzichtelijk ‘Artikel 30-formulier’ ontwikkeld waarmee elke verwerking individueel kan worden verwerkt. Maar hoe verhoudt dit zich tot het register. Leg je daarnaast ook nog een overzicht vast van de diverse verwerkingen (Artikel 30-formulieren) wat vervolgens het register vormt?
    Ofwel, hoe ziet een verwerkingsregister er uit?

    1. Wendy Tran schreef:

      Beste Onno,

      Dank voor je vragen. Het doel van het formulier is primair om de verplichte informatie (op grond van artikel 30 AVG) in te laten vullen door een proceseigenaar, die verantwoordelijk is voor een gegevensverwerking. Het formulier kan worden gebruikt om het register aan te leggen, om het register te actualiseren maar kan ook onderdeel uitmaken van het register zelf. De AVG schrijft geen vormvereisten voor aan het verwerkingsregister. Het verwerkingsregister kan bijvoorbeeld worden aangelegd in Excel format maar ook in een “governance, risk management and compliance”-tool (GRC). De organisatie kan er ook voor kiezen om een overzicht van de diverse verwerkingen (de formulieren) vast te leggen en te actualiseren zolang de organisatie maar kan borgen dat alle in artikel 30 AVG genoemde onderdelen in het register staan vastgelegd en tijdig worden geactualiseerd. Als je verder ondersteuning op dit gebied nodig hebt, dan horen we het graag. Ik hoop je zo verder te hebben geholpen!

      Met vriendelijke groet,
      Wendy

  3. henk schreef:

    LS, moet je als verwerker in jou register ook de data die je verwerkt bijhouden ? dus die van de klanten ! ?
    M.a.w als organisatie van 5 of 50 man is het voor data waar je eigenaar van bent relatief gemakkelijk (als het dus al verplicht is) maar als je 150 cloud klanten bediend met jou beheer servers … zou ik denken dat dit door de eigenaar gedaan moet worden en dat hij jou betaald om pia’s uit te voeren … of moet je onder de avg dit ten alle tijden al zelf doen ?

    Dan zou de ‘verplichting’ toch moeten zijn: je moet een register als je data verwerkt van 250 of meer mensen ? ipv fte in je organisatie.

  4. Wendy Tran schreef:

    Beste Henk, dank voor je reactie.

    Of het mensen moet zijn in plaats van fte, daar kunnen we geen uitspraak over doen. Let er alleen op dat de vrijstelling van art. 30 lid 5 AVG zelden van toepassing is en wel door deze tekst: “tenzij [….] de verwerking niet incidenteel is”. Een verwerker zal enkel in uitzonderingssituaties incidentele verwerkingen verrichten maar de meeste verwerkingen vinden “gepland” plaats, bijv. in de vorm van een standaard dienstverlening en conform de instructies van een verantwoordelijke. M.a.w. de registerplicht uit lid 2 is van toepassing en moet je als verwerker een register bijhouden van de verwerkingen die je verricht voor een verantwoordelijke. Hiernaast heeft diezelfde verantwoordelijke een eigen registerplicht en wel op basis van art. 30 lid 1 AVG maar dit staat los van uw registerplicht op basis van lid 2.

    Volgens de AVG is de verantwoordelijke eindverantwoordelijk voor het uitvoeren van de DPIA. Het staat hem of haar wel vrij om de uitvoering uit te besteden een andere partij, of dit nu de verwerker is of een andere derde. Dus je hoeft een DPIA zeker niet zelf uit te voeren.

  5. Sarah schreef:

    Hallo,

    Kunt u mij vertellen wat een verwerking precies is en op welk abstractieniveau dit moet ?
    BV kan een verwerking zijn: Personeelsadministratie
    Of moet het nog meer in detail bv: Aanstellingsadministratie, fietsplanadministratie, salarisadministratie,
    Ik hoor graag!

  6. Wendy Tran schreef:

    Beste Sarah,

    een wettelijke definitie van een verwerking is beschikbaar onder art. 4 sub 2 AVG. Je kunt hierbij denken aan inzage tot, het kopiëren of verspreiden van, etc. Onder een verwerking wordt ook verstaan een ‘geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens’. De verwerking van persoonsgegevens ten behoeve van de salarisadministratie kan gelezen worden als een ‘geheel van bewerkingen met betrekking tot (een geheel van) persoonsgegevens’ en dus als een verwerking worden behandeld in de context van de AVG.

    Met vriendelijke groet,
    WT

  7. Dick schreef:

    Wij zetten fotos van bedrijfsfeesten op onze intranet site, Is hiervoor ook vermelding in het verwerkingsregister nodig?

  8. Wendy Tran schreef:

    Beste Dick,

    ervan uitgaande dat de uitzondering van art. 30 lid 5 AVG niet van toepassing is (geen incidentele verwerking) en het gaat om persoonsgegevens zoals bedoeld in art. 4 sub 1 AVG zal deze verwerking inderdaad in het verwerkingsregister moeten worden opgenomen.

    Met vriendelijke groet,
    WT

  9. Chris schreef:

    Hallo, wie mag een verwerkingsregister allemaal inzien? Heeft de OR daar bijvoorbeeld rechten toe?

  10. Wendy Tran schreef:

    Beste Chris,

    Het register moet op aanvraag beschikbaar worden gesteld aan de toezichthoudende autoriteit, zoals de Autoriteit Persoonsgegevens (art. 30 lid 4 AVG). Een FG zou ook toegang moeten krijgen tot het register als dit nodig is voor de uitvoering van zijn of haar taken (art. 38 lid 2 AVG). Uit de AVG volgt niet dat een OR rechten heeft om het register in te zien, maar er zijn situaties denkbaar waarin je het register alsnog beschikbaar wilt stellen. Het OR heeft onder bepaalde omstandigheden namelijk instemmingsrecht, en om te beoordelen of het ergens mee in wil stemmen kan inzage in het verwerkingsregister nuttig (of noodzakelijk) zijn. Tenslotte zijn er nog de mede-verwerkingsverantwoordelijken. Die kunnen in “art. 26 lid 1 AVG-afspraken” bepalen of en hoe ze het register aan elkaar beschikbaar willen stellen zodat ze waar nodig het register kunnen bijwerken, bijvoorbeeld.

    Met vriendelijke groet,
    WT

  11. BAS schreef:

    moet er voor elk individu apart worden bij gehouden welke gegevens er verzameld zijn of mag dit ook globaal

  12. Wendy Tran schreef:

    Beste Bas,

    Je hoeft het niet voor ieder individu apart bij te houden. Dit mag ook globaal, zoals op afdelingsniveau of procesniveau. Voor de AVG maakt het niet zo veel uit op welke (detail)niveau je dit bijhoudt, als alle verplichte elementen er maar in staan.

    Als je artikel 30 lid 1 sub c AVG er bij pakt, zou je bijvoorbeeld kunnen concluderen dat het register per afdeling of proces mag worden bijgehouden, zo lang je wel het “type individu” hierbij noteert (“beschrijving van de categorieën betrokkenen”).

    Met vriendelijke groet,
    WT

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *