Het verwerkingsregister: van administratie naar aanzet tot actie
Sinds de invoering van de Algemene Verordening Gegevensbescherming (hierna AVG) in 2018, moet elke organisatie die persoonsgegevens verwerkt bijhouden hoe, waar en door wie dat gebeurt. Maar hoe regel je dat nou goed? En waarom heb je het eigenlijk nodig? In dit artikel aandacht voor wat een goed verwerkingsregister moet bevatten, hoe je dat met elkaar regelt én wat dat uiteindelijk oplevert.
Een kennismaking
Laten we beginnen bij het begin; als je nog geen verwerkingsregister hebt ingericht, dan ben je rijkelijk laat. De invoering en je verplichte kennismaking met het verwerkingsregister had idealiter ergens in 2018 plaatsgevonden. Ok, tijd voor een hernieuwde kennismaking dan. Want wat is dat verwerkingsregister ook alweer precies? Hoewel de naam wellicht anders doet vermoeden, is het een document waarvan jij zelf bepaalt hoe het eruit ziet, in wat voor format het bestaat en waar het zich bevindt.
Of je nu kiest voor een excel, een word-document, een flowchart of een pdf op je website, dat maakt niets uit. Maar de Autoriteit Persoonsgegevens schrijft wel voor wat dat verwerkingsregister dan vervolgens moet bevatten. In het kort; alles omtrent de verwerking en daarmee toegang tot privacygevoelige data. Verderop in dit artikel zullen we dit nader specificeren.
Ok, helder tot zover. Het verwerkingsregister maakt dus duidelijk welke persoonsgegevens jij in je organisatie verwerkt, wat er eventueel naar leveranciers loopt, hoe lang je gegevens bewaart en hoe je dat beveiligt. Zo is in één oogopslag duidelijk welke gegevens je bewaart en voor welke doeleinden. En data is breed. Ook de persoonsgegevens van je eigen personeel vallen hieronder en moeten dus in je verwerkingsregister worden verantwoord.
De hamvraag
Maar waarom? Waarom richt je een meta-document op, waarin je dit allemaal beschrijft? Met een blik op de data zelf, zie je toch ook welke data er zich in je organisatie bevindt?
Allereerst heel simpel: de AVG vereist het. Je moet met een document alle zaken die hierboven zijn opgesomd kunnen aantonen, als daar door de Autoriteit Persoonsgegevens om gevraagd wordt. Maar daar komt bij dat de verantwoordingsplicht bij jouw organisatie ligt, als een consument of medewerker vragen heeft over zijn of haar persoonlijke gegevens. Jij moet kunnen aantonen wat je met iemands gegevens doet, met welk doel en hoe lang je dat blijft doen.
Daarmee is het verwerkingsregister de bron waarop de privacyverklaringen die je afgeeft richting klanten, leveranciers en opdrachtgevers worden afgestemd.
De meerwaarde
Tot zover gaat het vooral om moeten. Want je moet kunnen aantonen waarom je handelt zoals je handelt. Maar voordat je dat kunt doen, moet je daar dus over nagedacht hebben. En daar zit een stukje meerwaarde. Voldoen aan de AVG, dwingt je om alle gegevens die je verwerkt in kaart te brengen én opnieuw kritisch te kijken naar de noodzakelijkheid van die verwerking.
Zijn alle gegevens die je meestuurt naar je loonadministrateur wel relevant voor de uitvoering van zijn stukje van de salarisverwerking? En de geboortedatum in je eigen CRM is een prima plan, maar waarom zit het eigenlijk in die andere zes applicaties in je organisatie?
Door een allesomvattend register op te stellen, kom je opnieuw langs al deze, vaak onbewust gemaakte, keuzes en word je gedwongen daar opnieuw over na te denken. Dat heeft tot gevolg dat je persoonlijke informatie terug gaat snoeien; het moet bestaan op de plekken waar het van toepassing is, niet daarbuiten. En daarmee heb je het niet alleen goed geregeld voor de AVG; hoe minder data op verschillende plekken, hoe minder kans dat deze door anderen verkregen kan worden.
Het minimaliseren van privacygevoelige data is nog steeds je beste tactiek tegen kwaadwillenden!
Hoe regel ik het goed?
Zoals eerder gezegd, de AVG stelt geen specifieke eisen aan hoe het register wordt opgesteld, maar wel aan de informatie die erin hoort te staan(*). Om goed zicht te houden op de privacygevoelige informatie en waar deze zich bevindt, bevat een effectief register in ieder geval dus de volgende zaken:
Het doel van het opslaan van de gegevens (waarom sla je op?
Het type gegevens (NAW, betaalgegevens, medische informatie, wat sla je op?)
De betrokkenen bij deze gegevens (voor wie hebben problemen gevolgen?)
De ontvangers van deze gegevens (met welke derde partijen deel je deze data?)
De verantwoordelijke voor deze gegevens (wie beheert het systeem met deze data?)
De plaats waar de data zich bevindt (in welk systeem of in welke kast staat de data?)
De bewaartermijn (hoe lang bewaar je de gegevens)
De mate van beveiliging (wat voor encryptie, wat voor fysieke beveiliging pas je toe?)
De verantwoordelijke binnen je organisatie (wie is je Privacy Officer of Functionaris Gegevensbescherming?)
Indien van toepassing: welke informatie gedeeld wordt buiten de EU? (welke softwareapplicaties slaan data op in de US?)*
Als het goed is, is je verwerkingsregister een levend document. Er komen softwarepartijen bij, er vallen leveranciers af. Of, subtieler, er verschijnen nieuwe velden in je CRM applicatie, waardoor je ineens meer data van je klanten gaat bewaren.
Het is daarom raadzaam om je verwerkingsregister periodiek opnieuw te doorlopen. Hoe vaak je dat doet, dat hangt een beetje af van de wendbaarheid van je organisatie. Elke maand weer veel nieuwe partners, opdrachtgevers en software? Dan is het geen gek idee een maandelijkse controle in te plannen. Andere organisaties houden al snel voldoende zicht en grip met een kwartaallijkse controle.
Tot slot
Waarschijnlijk heb je op dit moment al een verwerkingsregister liggen. Toch zien we bij veel organisaties dat daar eens opnieuw naar kijken kan helpen. Om het aantal plekken waarop privacygevoelige data zich bevindt terug te dringen. Om nog eens heel goed te checken of die nieuwe software niet ineens een nieuwe bron van data is geworden. Maar zeker ook om nog eens kritisch te bedenken of je je klanten nog steeds op de beste manier bedient, met deze werkwijze.
Een laatste snelle tip? Denk ook eens aan de software waar je niet voor betaalt..
Uitdagingen met het zelf inrichten van een goed verwerkingsregister? Neem vooral contact met ons op en we helpen je graag op weg!
(*Bron: Autoriteit Persoonsgegevens)