Smile
Terug naar hoofdmenu
Terug naar het overzicht

Zodra de AVG van toepassing is, vervalt de plicht om gegevensverwerkingen bij de toezichthouder te melden. In plaats daarvan heb je als organisatie ‘documentatieplicht’ en moet je zelf een register gaan bijhouden van verwerkingsactiviteiten die onder jouw verantwoordelijkheid vallen. Zo’n register wordt ook wel een dataregister of verwerkingsregister genoemd.

Dit artikel helpt je met 7 ‘leane’ stappen op weg!

Check of de verplichting om een verwerkingsregister bij te houden ook voor jouw organisatie geldt

Je bent verplicht om een verwerkingsregister bij te houden als jouw organisatie:

  1. persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor), en/of
  2. risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, en/of
  3. meer dan 250 medewerkers heeft.

Het beheer van gegevens van klanten-, leveranciers- en/of personeel komt in bijna iedere organisatie voor. Daarom zijn ook (bijna) alle organisaties in de praktijk verplicht de verwerking van persoonsgegevens in een register bij te houden. En zeker de wat kleinere organisaties zijn hier zich veelal nog niet van bewust!

Bepaal de (minimale) inhoud van het verwerkingsregister

In het verwerkingsregister neem je minimaal op welke persoonsgegevens gebruikt worden, voor welk doel, waar ze worden opgeslagen en met wie ze al dan niet worden gedeeld.

Je kunt zelf een sjabloon maken waarin deze gegevens worden vastgelegd (bijvoorbeeld in Excel), maar er zijn ook slimme tools in de markt die het denkwerk al voor je hebben gedaan. Door gebruik te maken van zo’n tool bespaar je (bedenk)tijd en kun je direct aan de slag met het vullen van het register.

Laat de werkvloer bijdragen aan het vullen van het verwerkingsregister

Als je de structuur eenmaal hebt staan, kun je de werkvloer eenvoudig betrekken bij het vullen van het verwerkingsregister.

Wat goed kan werken is het organiseren van een fysieke sessie met het (midden) management waarin je uitlegt wat een verwerkingsregister is, waarom het belangrijk is en hoe een verwerking is opgebouwd. Laat de aanwezigen daarna 1 type verwerking benoemen dat binnen zijn of haar aandachtsgebied valt. Laat live zien hoe deze verwerking in het register kan worden vastgelegd. Vraag de deelnemers daarna om met hun eigen team zo’n zelfde sessie te houden met als doel zoveel mogelijk verwerkingen in kaart te brengen en vast te leggen.

Via deze ‘olievlek-methode’ bundel je niet alleen de krachten voor het vullen van het verwerkingsregister, maar werk je ook automatisch aan het vergroten van de bewustwording op de werkvloer t.a.v. het belang van data privacy.

Extra tip: bij het vastleggen van een verwerking moeten door de wettelijke verplichting zaken worden vastgelegd die niet door iedereen even makkelijk te begrijpen zijn. Met een slimme hulpfunctie in je register, zorg je ervoor dat de werkvloer niet vast komt te zitten!

Vergeet de data protection impact assessments (DPIA’s) niet

Bij het verwerken van gegevens met een hoog privacy risico is een zogeheten ‘data protection impact assessment’ (DPIA) verplicht. Deze bestaat uit 2 stappen. De pre-DPIA bestaat uit 9 vragen waarmee de privacy risico’s van een verwerking makkelijk in kaart gebracht kunnen worden. Blijkt uit de pre-DPIA dat de privacy risico’s hoog zijn? Neem dan maatregelen om de risico’s te verkleinen. De volledige DPIA (bijvoorbeeld naar het voorbeeld van NOREA) helpt je hierbij op weg. Overweeg je een tool aan te schaffen voor het verwerkingsregister? Let op dat de (pre)DPIA een geïntegreerd onderdeel uitmaakt van de tool van jouw keuze, dan kan het nooit misgaan.

 

Zorg dat je klaar bent voor een eventuele stroom van aanvragen persoonsgegevens

Vanaf 25-05-2018 heeft iedereen het recht op inzage, aanpassing, verwijdering en transportatie van zijn eigen gegevens. Als bij jouw organisatie betrokken personen een dergelijk verzoek indienen, biedt het verwerkingsregister het inzicht dat nodig is om zo’n verzoek op tijd te kunnen verwerken. Je bent als organisatie namelijk verplicht binnen 1 maand schriftelijk of per e-mail te reageren en die tijd is zo voorbij. Alleen bij aantoonbaar complexe verzoeken mag je 2 maanden extra de tijd nemen. Maar ook dit moet je dan wel binnen 1 maand aankondigen.

De meer complete data privacy tools bieden naast een register voor gegevensverwerking ook functionaliteit om deze aanvragen (en eventuele privacy klachten) in goede banen te leiden inclusief handige antwoordsjablonen.

Verbind privacy incidenten zoals datalekken met het verwerkingsregister

Als jouw verwerkingsregister goed en slim is ingericht, wordt het registeren van eventuele (bijna) privacy incidenten zoals datalekken een stuk makkelijker. Het koppelen van systemen aan zowel verwerkingen als incidenten maakt dat je snel de werkelijke impact van een incident doorziet. Dat betekent dat er minder tijd nodig is voor analyse en meer tijd vrijkomt voor het afdekken van het risico.

Borg de continuïteit van het verwerkingsproces door aan te sluiten bij wat men al kent

Een verwerkingsregister aanleggen is geen eenmalige zaak, maar een continu proces. Zorg daarom dat het opzetten en implementeren van een procedure om het register up-to-date te houden onderdeel is van jouw plan van aanpak.

Daarvoor hoef je meestal niet het wiel opnieuw uit te vinden. Sluit aan bij lopende procedures op het gebied van (registraties t.b.v.) kwaliteit- en veiligheid en zie data privacy als een verruiming van de topics binnen deze procedures.

Door er zo pragmatisch mee om te gaan, zal het onderwerp data privacy veel sneller ‘landen’ en een vast onderdeel worden van de bedrijfsvoering. Want data privacy raakt ons allemaal als individu. Net als kwaliteit en veiligheid in de bredere zin van het woord.

Heel veel succes!

 

Smile maakt gebruik van cookies om de website te verbeteren en jouw voorkeuren te onthouden.

man-logo