MIND THE GAP: struikel niet over je privacy verwerkingsregister!

Onder de Algemene Verordening Gegevensbescherming (AVG) is het maken en bijhouden van een verwerkingsregister een verplichting. In dit geval is dat geen last, maar een prachtige kans! Zonder register zit er een gat in je kennis, je hebt geen inzicht in de persoonsregistraties binnen jouw organisatie. Maar hoe stel je deze efficiënt samen?

Ik wil een verwerkingsregister!

Een verwerkingsregister maken kost je wel even wat tijd, maar die verdien je dubbel en dwars terug met het inzicht wat je hiermee krijgt. In het verwerkingsregister maak je inzichtelijk welke persoonsgegevens in de processen van jouw organisatie terugkomen en bijvoorbeeld in welke applicaties dit staat en wie bij welke gegevens mag. Met deze informatie kun je de samenwerkingen tussen afdelingen of leveranciers beter ondersteunen, kun je inzichtelijk maken wie verantwoordelijk is voor een bepaald proces of informatie en kun je dubbele informatieverzamelingen uit het proces halen door slim te koppelen. Natuurlijk helpt een register je ook bij het voldoen aan de wet: een vraag van een betrokkene kan efficiënt beantwoord worden en kost veel minder tijd.

Eisen verwerkingsregister

Allereerst stelt de AVG in artikel 30 een aantal eisen aan het register. Belangrijk om van tevoren te benadrukken is dat niet alleen de verantwoordelijke een register moet samenstellen en bijhouden, ook de Verwerker is verplicht dit te doen. Dat betekent dat het niet uitmaakt welke rol je organisatie heeft, als je structureel met (veel) persoonsgegevens werkt dien je een verwerkingsregister te hebben. De inhoudelijke eisen hieraan worden duidelijk omschreven in de AVG:

• Naam en contactgegevens van je organisatie;
• Verwerkingsdoeleinden (alleen voor Verantwoordelijke)
• Beschrijving categorieën van betrokkenen en van persoonsgegevens, ofwel de categorieën van verwerkingen;
• Categorieën van ontvangers in geval van doorgifte van gegevens;
• Beschrijving van passende technische en organisatorische maatregelen;
• Beschrijving passende waarborgen (alleen voor Verantwoordelijke)
• Bewaartermijnen (alleen voor Verantwoordelijke)

Daarnaast zijn er een aantal eisen aan de vorm: het verwerkingsregister moet schriftelijk en elektronisch opgesteld zijn en het wordt op aanvraag aan de Autoriteit Persoonsgegevens ter beschikking gesteld.

Informatiestromen inventariseren

De AVG spreekt over ‘categorieën’ van betrokkenen, persoonsgegevens, verwerkingen en ontvangers. Om dit juist te kunnen weergeven, is het essentieel om alle informatiestromen binnen en buiten de organisatie in kaart te brengen. Vanuit het discipline Informatiebeveiliging zijn we natuurlijk al langer gewend om informatiestromen te inventariseren. Als je echt bij ‘nul’ moet beginnen met het in kaart brengen van de informatiestromen, heb je een paar opties. Je kunt beginnen bij de start van je informatiestroom, bijvoorbeeld bij de klant, een samenwerkingspartner, of bij medewerkers. Je kunt er ook voor kiezen te starten vanuit de applicaties die je als organisatie gebruikt. Deze tweede optie vind ik zelf prettig om mee te starten, zodat je daarna met meer voorkennis de informatiestromen na kunt lopen. Vergeet ook de persoonsgegevens van medewerkers niet.

Opbouw van het register

Als je gaat starten met de inventarisatie, is het van belang dat je al weet welke vragen je gaat stellen. Wat wil je van de informatiestromen weten? Op die manier kun je van elke informatiestroom dezelfde kenmerken beschrijven en wordt de informatie in het verwerkingsregister eenduidig en volledig. Punten om aan te denken zijn bijvoorbeeld:

• Bedrijfsonderdeel;
• Applicatie / tooling (de bron);
• Hosting: waar staat de informatie;
• Gebruik van de informatie (let op: dit kan verschillen op verschillende momenten in de informatiestroom);
• Intellectueel eigendom;
• Autorisatie (wie mag/kan erbij);
• Informatieklasse;
• Score op beschikbaarheid, integriteit, betrouwbaarheid (informatiebeveiliging).

Op het moment dat je meer informatie opneemt in het verwerkingsregister dan strikt noodzakelijk volgens de AVG, helpt dat je bij eventuele datalekken of incidenten met informatie. Ook helpt dit je om overzicht te houden over de verbanden tussen gegevens: bijvoorbeeld als verschillende bronnen op elkaar aansluiten.

Privacy-categorieën benoemen

Onderschat het belang van de inventarisatie van informatiestromen niet: zonder overzicht van het geheel weet je nooit of je alle persoonsgegevens in kaart hebt en kun je geen duidelijke categorieën definiëren. Dat is namelijk de volgende stap: op basis van de richtlijnen van de AP kun je je vergaarde informatie clusteren zodat je categorieën krijgt.  Maak een indeling die voor de organisatie helder is en documenteer welke uitgangspunten, aannames en keuzes je maakt bij het maken van categorieën. Liefst gebruik je al bekende categorieën uit een ander discipline (bijvoorbeeld informatiebeveiliging of kwaliteitsmanagement). Op deze manier kun je altijd verantwoorden wat de grondslag is voor een categorie en staat je register niet op zichzelf. De categorieën van persoonsgegevens kun je voortaan gebruiken in je communicatie intern en extern. Het is raadzaam om de privacy-categorieën ter informatie te delen met de directie en Raad van Bestuur, zij zijn immers eindverantwoordelijk.

Toezichthoudende autoriteit vraagt overzicht

De toezichthoudende autoriteit, in Nederland de Autoriteit Persoonsgegevens, is gerechtigd het verwerkingsregister op te vragen. Van belang is dat je hierbij deelt wat de wet voorschrijft en niet per definitie het gehele register. De keuze van de naamgeving van de privacy-categorieën is daarom ook van belang: zorg ervoor dat de naamgeving helder is voor de Autoriteit Persoonsgegevens, zonder de privacy van betrokkenen te schenden en zonder dat het onderliggende gehele verwerkingsregister nodig is om de naamgeving te verklaren.

Aan de slag!

Hierboven vind je kort en bondig wat nodig is om een verwerkingsregister op te kunnen stellen. Zoek ook de samenwerking met verwante afdelingen, zoals informatiebeveiliging of de kwaliteits- of procesadviseurs. Naar mijn mening is de grootste uitdaging om alle informatie die je nodig hebt boven water te halen, zeker de gegevensuitwisselingen die op allerlei niveaus tussen allerlei mensen vanbinnen en buiten de organisatie plaatsvinden. Struikel niet over je register en start vandaag nog, je wint er een heleboel mee.