Register voor verwerkingsactiviteiten onder de nieuwe AVG

Categorie
Privacyrecht en persoonsgegevens
laatst geüpdate
Leestijd
6 minuten
Op dit moment, nu de Wet bescherming persoonsgegevens (‘Wbp’) nog geldt, is het zo dat verwerkingen van persoonsgegevens in beginsel moeten worden gemeld bij de Autoriteit Persoonsgegevens. Omdat dagelijks in vrijwel alle organisaties in ons land aan de lopende band persoonsgegevens worden verwerkt en het ondoenlijk zou zijn al die verwerkingen steeds te melden bij de Autoriteit Persoonsgegevens, heeft de wetgever bepaald dat veel voorkomende verwerkingen zijn vrijgesteld van de meldingsplicht. Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (‘AVG’) in werking die de Wbp zal vervangen. Vanaf dat moment zal ook de meldingsplicht vervallen. In plaats daarvan zal uw organisatie vanuit het accountability principe naleving van de AVG aantoonbaar moeten maken. In dat kader is een registerplicht opgenomen in de AVG.

In het blog van 31 mei 2017 gaven we u 10 tips om uw organisatie klaar te maken voor de Algemene Verordening Gegevensbescherming (AVG). In dit blog ga ik nader in op tip 5: Ga na of uw organisatie een register voor verwerkingen dient op te stellen en bij te houden.

Datamappen

Voordat een register voor verwerkingsactiviteiten kan worden opgezet is het van belang dat u binnen uw organisatie alle gegevensverwerkingen en –stromen van en naar uw organisatie in kaart brengt. Dat wordt ook wel ‘datamappen’ genoemd. Datamappen helpt vaak om meer inzicht in de gegevensverwerking van uw organisatie te krijgen. Datamappen draagt dus bij aan een betere basis voor compliance.

Van belang is daarbij om niet alleen te focussen op zogenaamde ‘structured data’, dat wil zeggen persoonsgegevens waarvan u weet dat en waar deze verzameld worden, maar ook op ‘unstructured data’. Bij deze laatste categorie gaat het om persoonsgegevens die zijn verstopt in bijvoorbeeld outlookfolders of een P-schijf op de computer. Ook die persoonsgegevens vallen onder de AVG en daarmee onder de registerplicht zodat ook die persoonsgegevens in kaart moeten worden gebracht.

Waarschijnlijk zal een deel van de informatie die in het register moet worden opgenomen en die ik hierna zal noemen al binnen uw organisatie voorhanden zijn. Bijvoorbeeld een database met klantgegevens, een personeelsadministratie, bestaand beleid op bewaartermijnen, audits, IT-beveiligingsrapporten, enzovoorts. Door goed te datamappen krijgt u al goed inzicht in al aanwezige verwerkingen van persoonsgegevens.

Wie?

De AVG bepaalt dat de verwerkingsverantwoordelijke een register dient bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid worden verricht. De meldplicht die op dit moment bestaat komt daarmee te vervallen. Er blijft alleen nog een meldplicht bestaan voor voorgenomen verwerkingen met een verhoogd risico.

Naast de verantwoordelijke dient ook de verwerker (nu nog genaamd bewerker) een register bij te houden van alle categorieën van verwerkingen van persoonsgegevens die de verwerker ten behoeve van de verantwoordelijke verricht.

De verplichting van de verantwoordelijke en/of de verwerker om een register van verwerkingen bij te houden geldt niet voor een verantwoordelijke of verwerker die minder dan 250 personeelsleden heeft, tenzij het waarschijnlijk is dat de verwerkingen die zij verrichten risicovol zijn voor de privacy van de betrokkenen of het gaat om structurele verwerkingen of verwerkingen van bijzondere of strafrechtelijke persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens over iemands ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigen, lidmaatschap van een vakbond, medische en biometrische gegevens en seksuele voorkeur.

Wat?

De verantwoordelijke en de verwerker dienen beiden een verwerkingsregister bij te houden, echter wat zij daarin moeten opnemen is verschillend.

Verantwoordelijke

De verantwoordelijke dient per verwerkingsactiviteit het volgende in het register op te nemen:

  • Naam en contactgegevens van de verantwoordelijke en eventuele gezamenlijke verantwoordelijken en, indien aanwezig, van de functionaris voor de gegevensbescherming. In het blog van 1 november 2017 is Vivienne Verlinden ingegaan op de vraag wanneer een Functionaris Gegevensbescherming moet worden aangesteld;
  • De doeleinden voor de verwerking van de persoonsgegevens;
  • Een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • De (voorgenomen) categorieën van ontvangers;
  • Eventuele doorgifte van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van het betreffende land of organisatie;
  • De (voorgenomen) bewaartermijnen;
  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen;
  • Hoewel dat niet is vereist is het raadzaam om ook de grondslag(en) voor de verwerkingen op te nemen in het register. Is bijvoorbeeld sprake van toestemming van de betrokkene en/of eventuele andere grondslagen?

De verwerker

De verwerker dient per verwerkingsactiviteit het volgende in het register op te nemen:

  • Naam en contactgegevens van de verwerker(s), verantwoordelijke(n) en, indien aanwezig, van de functionaris voor de gegevensbescherming;
  • De categorieën van verwerkingen die per verantwoordelijke worden uitgevoerd;
  • Eventuele doorgifte van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van het betreffende land of organisatie;
  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen.

Aandachtspunten

Bewustwording lijkt het toverwoord rondom privacy en bescherming van persoonsgegevens en de compliance van een organisatie op dat gebied. Van belang is daarom dat binnen de directie en het management van uw organisatie steun bestaat voor het opzetten van een verwerkingsregister. Daarnaast is van belang dat binnen de organisatie tijd en geld worden vrijgemaakt voor het opzetten van zo’n register. Maak daarvoor een realistische inschatting.

Het register dient schriftelijk te zijn opgesteld, waaronder in elektronische vorm. Met het opstellen van het register bent u er echter niet; zaak is dat het register regelmatig wordt bijgehouden. Van belang is daarom ook dat binnen de organisatie wordt nagedacht wie het register zal opzetten en bijhouden. Vragen die in dat kader gesteld moeten worden zijn welke personen binnen uw organisatie in het kader van hun functie persoonsgegevens moeten verwerken (denk aan HR, IT, marketing, etc.). Er zal een procedure opgezet moeten worden voor het up to date houden van het register, waarbij vragen moeten worden beantwoord als (i) wie is verantwoordelijk voor het updaten van het register, zowel inhoudelijk maar ook functioneel), (ii) wie is verantwoordelijk voor het aanpassen van procedures, gegevensstromen, etc., (iii) wie passen persoonsgegevens aan, (iv) met welke frequentie worden gegevens aangepast, enzovoorts.

Vervolg

In het volgende blog in deze reeks blogs over de AVG zal nader worden ingegaan op bewerkersovereenkomsten en waar deze ingevolge de AVG aan moeten voldoen.

Zie ook:

alle blogs & vlogs