De Algemene verordening gegevensbescherming (AVG) verplicht organisaties om verantwoording af te leggen over hoe zij met persoonsgegevens omgaan. Zo moeten ze precies registreren waar en waarom de gegevens verwerkt worden. Deze verplichting is terug te vinden in Artikel 30 van de AVG: Het verwerkingsregister. De meeste organisaties zijn hiermee aan de slag gegaan binnen een privacyproject. Het register is ingevuld en er zijn aanvullende maatregelen geïmplementeerd. En nu dan? Een kwestie van afvinken en door? Voldoet u daarmee aan de wet? Kan het verwerkingsregister ook een meerwaarde hebben?

Artikel 30

Het bijhouden van een verwerkingsregister is verplicht voor alle organisaties die structureel persoonsgegevens verwerken, of zij nu verwerker of zelf de verantwoordelijke zijn. Volgens artikel 30 moet het verwerkingsregister in ieder geval de doeleinden, categorieën van betrokkenen, categorieën van persoonsgegevens en de ontvangers van verwerkingen bevatten. Daarnaast moeten ook, voor zover mogelijk, bewaartermijnen, beveiligingsmaatregelen en of er sprake is van doorgifte buiten Europa vermeld worden. Door deze informatie per proces(stap) te registreren creëert u een waardevol inzicht in gegevens die de meeste organisaties voor de inwerkingtreding van de AVG niet hadden.

Verantwoordingsplicht

De verantwoordingsplicht beperkt zich helaas niet tot het verwerkingsregister. Organisaties moeten ook aan kunnen tonen dat zij dataminimalisatie toepassen, welke grondslagen van toepassing zijn, waar de gegevens staan opgeslagen, hoe zij met bijzondere persoonsgegevens omgaan en wie toegang tot de gegevens heeft. Allemaal informatie die in het verwerkingsregister kan worden opgenomen. Wij adviseren daarom vaak om ook de processtappen voldoende gedetailleerd te beschrijven. Zou u alleen hoofdprocessen registreren, dan is moeilijk na te gaan welk doel de gegevens dienen. Laat staan of er sprake van dataminimalisatie is. Op dat moment kunt u niet aantonen dat de AVG nageleefd wordt en loopt de organisatie het risico beboet te worden.

Van project naar programma

Met de overgang van privacyproject naar het runnen van een volwaardig privacyprogramma kan het verwerkingsregister een belangrijk instrument voor de privacy officer worden. De privacy officer heeft immers een goed overzicht nodig om processen te kunnen monitoren en verbeteren. In het geval van een datalek kan met een compleet register snel gevonden worden welke betrokkenen geraakt zijn en wie geïnformeerd moet worden. Ook een inzageverzoek is een stuk gemakkelijker af te handelen als er een compleet overzicht van verwerkingen is. Precies de punten waarbij een organisatie het grootste risico loopt om met de toezichthouder en aansprakelijkheden in aanraking te komen.

Actueel en juist

Net zoals persoonsgegevens actueel en juist moeten zijn, moet ook de informatie over persoonsgegevens actueel en juist zijn. Hoe doet u dat? In feite dwingt de AVG u om permanent overzicht te houden over uw processen. Een verandering in het proces betekent een verandering in de procesbeschrijving en een verandering in het verwerkingsregister. Door die laatste twee samen te voegen, het liefst in één systeem, kunt u al veel winst behalen.

De verantwoordelijkheid van het bijhouden van het register ligt dan ook niet meer alleen bij de privacy officer. Juist de proceseigenaren hebben het beste inzicht in eventuele veranderingen en zijn het beste in staat deze te beschrijven.

Eén bron van waarheid

Zorg er ook voor dat het register meer nut heeft dan alleen het AVG-vinkje. Een verwerkingsregister dat als single source of truth is ingericht kan immers input zijn voor procesoptimalisatie, de autorisatiematrix, het vaststellen van het juiste beveiligingsniveau, applicatiebeheer, risicoanalyses en zelfs contractbeheer (denk bijvoorbeeld aan licenties en verwerkersovereenkomsten). Zo wordt het verwerkingsregister een instrument waar de hele organisatie iets aan heeft.

Excel en verder

Om de juiste informatie in te kunnen voeren, en om op een nuttige manier informatie boven water te krijgen, komt u in Excel al snel assen tekort. Bovendien loopt u tegen problemen als versiebeheer, toegang en vervuiling aan. Een tool die alleen ingericht is op de verplichtingen uit artikel 30, maar niet heel veel meer doet dan dat, zal voor de meeste organisaties ook niet veel nut hebben. Zeker met het oog op de potentie van het register als bron van waarheid. Het is daarom ons advies om onderzoek te (laten) doen naar een veilige, passende oplossing die de organisatie nu, maar zeker ook in de toekomst van dienst zal zijn.

Joyce de Jong, privacyjurist bij Audittrail