Home » Actueel » Blijft u AVG-proof met het verwerkingsregister?

Blijft u AVG-proof met het verwerkingsregister?

Over een paar weken is het zover: op 25 mei 2018 moet iedere organisatie, dus ook gemeenten, voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Volgens de AVG moet iedere gemeente een verwerkingsregister opstellen en beheren.

Weet u hoe u een verwerkingsregister opstelt? Maakt u daar één persoon verantwoordelijk voor, of juist alle (afdelings)managers binnen uw organisatie? En hoe houdt u het register vervolgens bij? Wij bieden u een aantal handige tips!

Opzetten verwerkingsregister

Kort gezegd breng je in het verwerkingsregister alle gegevensverwerkingen van de organisatie in kaart. Je legt vast welke persoonsgegevens je verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie ze gedeeld worden. Er is geen vaste standaard voor een verwerkingsregister. Wel schrijft de AVG voor dat het register bepaalde informatie moet bevatten, namelijk:

  • naam en contactgegevens van de verantwoordelijke;
  • naam en contactgegevens van de FG;
  • beschrijving van de beveiligingsmaatregel per verwerkingsactiviteit;
  • doel van de verwerking;
  • beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
  • ontvangers van persoonsgegevens;
  • bewaartermijnen;
  • doorgifte aan een ander land/internationale organisatie.

Het is belangrijk te beseffen dat het bestuur of directie verantwoordelijk is voor de aanpak en niet de Functionaris Gegevensbescherming (FG). De FG heeft een adviserende en controlerende rol.

 

Twee tips bij het opzetten van het verwerkingsregister:

1. Vul het verwerkingsregister met een team

Als het goed is, heeft u al een privacyteam samengesteld. Hierbij heeft u privacybeheerders aangewezen in de diverse vakgebieden. Een verwerkingsregister vullen is veel werk en zonder hulp en aanvullende kennis van de vakspecialisten is een gedegen ingevuld verwerkingsregister bijna onmogelijk.

2. Start op proces niveau

Let op dat je niet blijft hangen in allerlei inhoudelijke deelprocessen. Breng je hoofprocessen in kaart, betrek hierbij inventarisaties van applicaties en een contractendatabase. Later kun je eventueel een verdiepingsslag aanbrengen. Zo kom je sneller tot resultaten.

Beheren van een verwerkingsregister

Inmiddels zijn de meeste gemeenten druk in de weer met het opzetten van zo’n register. Bij het opzetten speelt echter direct de vraag: wie gaat dit beheren en hoe gaan we dit doen?

Het verwerkingsregister is een dynamisch document. Als de gemeente of het applicatielandschap verandert, verandert het register mee. Het is daarom raadzaam een eigenaar voor dit register toe te kennen. Deze is verantwoordelijk voor het updaten en (laten) aanpassen van gegevensstromen.

Drie tips voor het beheren van het verwerkingsregister:

1. Het beheren van het verwerkingsregister is een proces

Hierbij ligt het monitoren en controleren bij de FG. De vakafdelingen zorgen voor de juiste invulling van het verwerkingsregister.

2. Jaarlijkse herijking door vakafdelingen

Het applicatielandschap van een gemeente kan nog wel eens veranderen. Ook kunnen er wijzigingen in de organisatie plaatsvinden. Daarom is het van belang dat er periodieke afstemming en herijking plaats vindt op het verwerkingsregister.

3. Een goede softwaretool helpt eenvoudig en duidelijk de juiste rapportages op te stellen

Een verwerkingsregister kan in Excel worden opgebouwd, maar het is efficiënter om hiervoor een softwaretool te gebruiken. Meestal kan dit in een bestaande ISMS- (Information Security Management System) of GRC-omgeving (Governance, Risk & Compliance) worden geïmplementeerd. Ook zien wij goede SAAS-verwerkingsregisters op de markt verschijnen.

Tot slot

Het verwerkingsregister kan ter controle worden opgevraagd door de Autoriteit Persoonsgegevens. Je bent als gemeente verplicht inzage te geven. Zorg dus dat je voor 25 mei een verwerkingsregister hebt. Maar nog belangrijker: zorg dat het een vast onderdeel van het onderhouden van je processen wordt.

Meer weten?

Voor meer informatie kunt u contact opnemen met Teuntje Brouns, adviseur bij Telengy, via tel. nr. 06 21 29 64 20 of via e-mail: t.brouns@telengy.nl, of Telengy-adviseur John Vloemans, 06 54 34 50 89, j.vloemans@telengy.nl.