Accountability in AVG: register van verwerkingsactiviteiten

Weet je het nog? AVG staat voor 'Algemene verordening gegevensbescherming'. Sinds 25 mei 2018 is deze wetgeving van kracht. Aan jou en je medewerkers de uitdaging om voor die tijd AVG-compliant te zijn. In deze derde blog in de AVG-serie, vertel ik je graag over het bijhouden van een register van verwerkingsactiviteiten.

Voordat we inhoudelijk op het derde onderwerp ingaan, geef ik je graag een korte terugblik op de voorgaande blogs.
In mijn eerste blog 'Een goed AVG-proces voorkomt boetes' las je wat er precies van je verwacht wordt en hoe de processen op jouw kantoor hierop aansluiten.

In mijn tweede blog 'Accountability in AVG: van verwerker tot verantwoordelijke' schreef ik over de verplichtingen waar ondernemingen aan moeten voldoen volgens het accountability vereiste. Onderstaand nogmaals op een rijtje:

• Het bijhouden van een register van verwerkingsactiviteiten.
• Het uitvoeren van een data protection impact assessment (DPIA).
• Het bijhouden van een register van datalekken die zijn opgetreden.
• Het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer jij voor een verwerking toestemming nodig hebt.
• Wanneer onduidelijk is of je verplicht bent om een functionaris voor gegevensbescherming (FG) aan te stellen, moet je goed kunnen onderbouwen waarom je ervoor kiest om al dan niet een FG aan te stellen.

Register van verwerkingsactiviteiten

In deze blog 'Accountability in AVG: register van verwerkingsactiviteiten' vertel ik je over het bijhouden van een register van verwerkingsactiviteiten. Wat houdt deze verplichting in?

De eerste vraag is of jouw organisatie überhaupt moet voldoen aan deze verplichting. Dit is het geval als jouw kantoor meer dan 250 werknemers heeft. Zijn dat er minder dan 250 werknemers, dan moet je alleen een register bijhouden als het verwerken van persoonsgegevens door jouw organisatie:

• hoge risico’s inhoudt voor de rechten en vrijheden van degene van wie je data verwerkt (denk hierbij aan de kans op identiteitsfraude of financiële nadelige gevolgen hiervan) en/of;
• de verwerking niet incidenteel is (gegevens worden doorlopend verwerkt, niet eenmalig) en/of;
• het bijzondere persoonsgegevens betreft in de zin van de GDPR (zoals medische, politieke, religieuze gegevens).

De verplichting geldt dus sowieso als jouw organisatie meer dan 250 werknemers heeft. De Autoriteit Persoonsgegevens kan vragen om directe inzage in het register en daar moet je als organisatie in voorzien.

Wat staat er in het register verwerkingsactiviteiten?

Het goede nieuws is dat het format vormvrij is. Je kunt hier dus een tool voor gebruiken, maar ook gewoon een excellijst bijhouden. Het doel is om vast te leggen welke persoonsgegevens je verwerkt. Om die reden is de inhoud wel gebonden aan vereisten.

Wat er in het register moet staan is afhankelijk van je rol. Ben je verantwoordelijke, dan moet het volgende in het register staan:

• Naam en contactgegevens van je organsatie en andere organisatie(s) met wie je gezamenlijk veranwoordelijke bent en de Data Protection Officer die je hebt aangesteld.
• Daarnaast contactgegevens van andere internationale organisaties met wie je persoonsgegevens deelt.
• Doeleinden waarvoor je persoonsgegevens verwerkt, bijvoorbeeld recruitment of direct marketing.
• Een omschrijving van de categorieen personen van wie je de persoonsgegevens verwerkt. Bijvoorbeeld klanten of prospects.
• Een omschrijving van de categorieën persoonsgegevens die je verwerkt, zoals BSN, IP-adressen of contactgegevens.
• De datum wanneer je de data gaat verwijderen (als dat bekend is).
• Categorieën van ontvangers aan wie je de persoonsgegevens stuurt.
• Als je persoonsgegevens deelt buiten de Europees Economische Ruimte (EER), dan moet je dat als zodanig benoemen in het register.
• Een algemene omschrijving van de technische en organisatorische maatregelen die je hebt genomen om de persoonsgegevens te beschermen.

Als je verwerker bent in de zin van de AVG, dan wordt de lijst aanmerkelijk korter, namelijk:

• Naam en contactgegevens van je organisatie, van de verantwoordelijke en van de Data Protection Officer die je hebt aangesteld.
• Omschrijving van de categorieën van verwerking die je mag uitvoeren op basis van de opdracht van de verantwoordelijke.
• Organisaties met wie je data deelt en of dat buiten de Europees Economische Ruimte (EER) gebeurd.
• Een algemene omschrijving van de technische en organisatorische maatregelen die je hebt genomen om de persoonsgegevens te beschermen.

Wat betekent dit nu voor jouw bedrijf?

Als de verplichting voor jou geldt (meer dan 250 werknemers of hoog risico i.v.m. bijzondere persoonsgegevens), dan moet je voor elke verwerking bepalen welke rol je pakt. Ben je verantwoordelijke of verwerker? De registerverplichtingen zijn afhankelijk van de rol. In het kort, de stappen die je zou moeten nemen zijn:
1. Zorg voor een overzicht van alle verwerkingen van persoonsgegevens.
Handig is om dit per afdeling te groeperen (HR, finance, marketing, sales) en dan te kijken naar twee stromen waar persoonsgegevens zich kunnen bevinden, namelijk systemen en handmatig (denk aan papier of lokale folders). Een overzicht van systemen zou je IT-afdeling moeten kunnen aanleveren. De handmatige stroom is minder grijpbaar en zal wellicht interviews met de afdelingen vereisen.
2. Bepaal per gegevensverwerking welke rol je pakt.
In jouw HR-administratie pak je de rol als verantwoordelijke. Echter stuur jij facturen ten behoeve van de klant naar de klant van jouw klant. Dan ben je waarschijnlijk bewerker. Het gaat erom wie de doel en middelen van de verwerking bepaalt. Doe jij dat? Dan ben je verantwoordelijke. Doet je klant dat en voer jij alleen maar uit in opdracht van? Dan ben je bewerker. Uitzonderingen daargelaten.
3. Voldoe aan de register vereisten die corresponderen bij jouw rol.
Veel organisaties zullen twee registers moeten aanmaken. Eén voor de verwerkingen in hun rol als verantwoordelijke en één voor de verwerkingen in de rol als bewerker. Zorg ervoor dat je register voldoet aan alle vereisten zoals hierboven benoemd. Een goede tip is, om de verschillende gegevensverwerkingen een identificatienummer te geven. Dit kan overal terugkomen en is een handig referentiepunt. Als format kun je met excellijsten werken of een tool aanschaffen. Er zijn er genoeg op de markt, maar het werk qua handmatige input moet nog steeds gedaan worden.

Ook voor deze verplichting geldt: begin er op tijd mee! Je hebt niet zomaar al je persoonsgegevensverwerkingen in kaart gebracht. In mijn volgende blog ga ik verder in op de tweede accountability verplichting: het uitvoeren van een Data Protection Impact Assessment.

Glossary: alles over AVG

De informatie over AVG is niet heel eenvoudig. Daarom heb ik alle informatie zo helder mogelijk proberen vast te leggen in een De informatie over AVG is niet heel eenvoudig. Daarom heb ik alle informatie zo helder mogelijk proberen vast te leggen in een de De informatie over AVG is niet heel eenvoudig. Daarom heb ik alle informatie zo helder mogelijk proberen vast te leggen in een De informatie over AVG is niet heel eenvoudig. Daarom heb ik alle informatie zo helder mogelijk proberen vast te leggen in een de glossary 'Alles over AVG'. De glossary biedt definities en verplichtingen die ontstaan vanuit de regelgeving. Aan de hand van de toegevoegde checklist kun je bepalen of je AVG-compliant bent. Je kunt de glossary gratis downloaden. De glosary biedt definities en verplichtingen die ontstaan vanuit de regelgeving. Aan de hand van de toegevoegde checklist kun je bepalen of je AVG-compliant bent. Je kunt de glossary gratis downloaden. De glosary biedt definities en verplichtingen die ontstaan vanuit de regelgeving. Aan de hand van de toegevoegde checklist kun je bepalen of je AVG-compliant bent. Je kunt de glossary gratis downloaden. De glosary biedt definities en verplichtingen die ontstaan vanuit de regelgeving. Aan de hand van de toegevoegde checklist kun je bepalen of je AVG-compliant bent. Je kunt de glossary gratis downloaden.