Smile
Terug naar hoofdmenu
Terug naar het overzicht

Nu de AVG van toepassing is, heb je als organisatie ‘documentatieplicht’ en moet je zelf een register gaan bijhouden van verwerkingsactiviteiten die onder jouw verantwoordelijkheid vallen. Zo’n register wordt ook wel een dataregister of verwerkingsregister genoemd.

Dit artikel helpt je in 7 Lean stappen op weg!

Check of de verplichting om een verwerkingsregister bij te houden ook voor jouw organisatie geldt

Je bent verplicht om een verwerkingsregister bij te houden als jouw organisatie:

  1. persoonsgegevens verwerkt waarvan de verwerking niet incidenteel is (het komt dus vaker voor), en/of
  2. risicovolle persoonsgegevens verwerkt, zoals gegevens over gezondheid, godsdienst of politieke opvattingen, en/of
  3. meer dan 250 medewerkers heeft.

Het beheer van gegevens van klanten-, leveranciers- en/of personeel komt in bijna iedere organisatie voor. Daarom zijn in de praktijk ook (bijna) alle organisaties verplicht de verwerking van persoonsgegevens in een verwerkingsregister bij te houden. Vooral de wat kleinere organisaties en ZZP’ers zijn hier zich veelal nog niet van bewust!

Bepaal de (minimale) inhoud van het verwerkingsregister

In het verwerkingsregister neem je minstens op welke persoonsgegevens gebruikt worden, voor welk doel, waar ze worden opgeslagen en met wie ze al dan niet worden gedeeld.

Je kunt zelf een sjabloon maken waarin deze gegevens worden vastgelegd (bijvoorbeeld in Excel), maar er zijn ook slimme tools in de markt die het denkwerk al voor je hebben gedaan. Door gebruik te maken van zo’n tool bespaar je (bedenk)tijd en kun je direct aan de slag met het vullen van het register.

Laat de werkvloer bijdragen aan het vullen van het verwerkingsregister

Als de structuur eenmaal staat, kun je de werkvloer eenvoudig betrekken bij het vullen van het verwerkingsregister.

Wat goed werkt is het organiseren van een fysieke sessie met het (midden) management waarin je uitlegt wat een verwerkingsregister is, waarom het belangrijk is en hoe een verwerking is opgebouwd. Laat de aanwezigen daarna één type verwerking benoemen dat binnen zijn of haar aandachtsgebied valt. Laat live zien hoe deze verwerking in het register kan worden vastgelegd. Vraag de deelnemers daarna om met hun eigen team zo’n zelfde sessie te houden met als doel zoveel mogelijk verwerkingen in kaart te brengen en vast te leggen.

Via deze ‘olievlek-methode’ bundel je niet alleen de krachten voor het vullen van het verwerkingsregister, maar werk je ook automatisch aan het vergroten van de bewustwording op de werkvloer t.a.v. het belang van data privacy.

Extra tip: bij het vastleggen van een verwerking moeten door de wettelijke verplichting zaken worden vastgelegd die niet door iedereen even makkelijk te begrijpen zijn. Met een slimme hulpfunctie in je register, zorg je ervoor dat de werkvloer niet vast komt te zitten!

Denk aan de data protection impact assessments (DPIA’s)

Bij het verwerken van gegevens met een hoog privacy risico is een zogeheten ‘data protection impact assessment’ (DPIA) verplicht. Deze bestaat uit 2 stappen. De pre-DPIA bestaat uit 9 vragen waarmee de privacy risico’s van een verwerking makkelijk in kaart gebracht kunnen worden. Blijkt uit de pre-DPIA dat de privacy risico’s hoog zijn? Neem dan maatregelen om de risico’s te verkleinen. De volledige DPIA (bijvoorbeeld naar het voorbeeld van NOREA) helpt je hierbij op weg. Overweeg je een tool aan te schaffen voor het verwerkingsregister? Let op dat de (pre-)DPIA een geïntegreerd onderdeel uitmaakt van de tool van jouw keuze, dan kan het nooit misgaan.

 

Wees klaar voor een eventuele stroom van aanvragen persoonsgegevens

Sinds 25-05-2018 heeft iedereen het recht op inzage, aanpassing, verwijdering en transportatie van zijn eigen gegevens. Als bij jouw organisatie betrokken personen een dergelijk verzoek indienen, biedt het verwerkingsregister het inzicht dat nodig is om zo’n verzoek op tijd te kunnen verwerken. Je bent als organisatie namelijk verplicht binnen 1 maand schriftelijk of per e-mail te reageren en die tijd is zo voorbij. Alleen bij aantoonbaar complexe verzoeken mag je 2 maanden extra de tijd nemen. Maar ook dit moet je dan wel binnen 1 maand aankondigen.

De meer complete data privacy tools bieden naast een register voor gegevensverwerking ook functionaliteit om deze aanvragen (en eventuele privacy klachten) in goede banen te leiden, inclusief handige antwoordsjablonen.

Verbind je verwerkingsregister met privacy incidenten zoals datalekken

Als jouw verwerkingsregister goed en slim is ingericht, wordt het registeren van eventuele (bijna) privacy incidenten zoals datalekken een stuk makkelijker. Het koppelen van systemen aan zowel verwerkingen als incidenten maakt dat je snel de werkelijke impact van een incident doorziet. Dat betekent dat er minder tijd nodig is voor analyse en meer tijd vrijkomt voor het afdekken van het risico.

Borg de continuïteit van het verwerkingsproces door aan te sluiten bij wat men al kent

Een verwerkingsregister aanleggen is geen eenmalige zaak, maar een continu proces. Zorg daarom dat het opzetten en implementeren van een procedure om het register up-to-date te houden onderdeel is van jouw plan van aanpak.

Daarvoor hoef je meestal niet het wiel opnieuw uit te vinden. Sluit aan bij lopende procedures op het gebied van (registraties t.b.v.) kwaliteit- en veiligheid en zie data privacy als een verruiming van de topics binnen deze procedures.

Door er zo pragmatisch mee om te gaan, zal het onderwerp data privacy veel sneller ‘landen’ en een vast onderdeel worden van de bedrijfsvoering. Want data privacy raakt ons allemaal als individu. Net als kwaliteit en veiligheid in de bredere zin van het woord.

Heel veel succes!

 

Meer weten over het verwerkingsregister?

Tijdens het Webinar ‘De Privacy Suite en het verwerkingsregister in de praktijk’ leer je meer over het verwerkingsregister en hoe dat in onze slimme privacy software is ingericht.

Meld je aan voor het webinar!