GDPR blog - Het register van verwerkingen…

Op 25 mei is de nieuwe privacy wetgeving, de General Data Protection Regulation, van toepassing in alle Europese landen. Conform artikel 30 EU-AVG zijn organisaties vanaf 25 mei 2018 verplicht een register van verwerkingen aan te houden.

Naar verwachting zal dit register bij onderzoek door de Autoriteit Persoonsgegevens één van de eerste zaken zijn die een toezichthouder zal willen inzien.

Of u nou een verwerkingsverantwoordelijke bent of een verwerker, veelal een leverancier die iets met data doet, u moet een privacy administratie aanleggen. U moet dus een register van verwerkingen aanleggen. Dat register is een belangrijk instrument voor accountability. Achteraf kunnen aantonen dat u alles gedaan heeft om…

Alle persoonsgegevens die u verwerkt moet documenteren, met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Dit wordt het verwerkingenregister genoemd. U kunt het register nodig hebben als betrokkenen hun privacyrechten willen uitoefenen, bijvoorbeeld om een overzicht te hebben in welke systemen u hun gegevens allemaal bewaart als ze uit uw database willen worden gehaald, en het is zoals gezegd waarschijnlijk één van de eerste zaken die de Autoriteit Persoonsgegevens zal willen inzien. Dat register moet dan ook wel klaar staan zijn in mei.

U mag zelf bepalen hoe u het register opstelt, maar de wet schrijft wel voor dat de volgende informatie in het register moet zijn opgenomen:

• de naam en contactgegevens van:
  • uw organisatie, of de vertegenwoordiger van uw organisatie;
  • eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld;
  • de Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld;
  • eventuele andere internationale organisaties waar u persoonsgegevens mee deelt.
• de doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing;
• een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten;
• een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen;
• de datum waarop u de gegevens moet wissen (als dat/deze bekend is);
• de categorieën van ontvangers aan wie u persoonsgegevens verstrekt;
• deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het register;
• een algemene beschrijving van de technische en organisatorische maatregelen die u hebt/heeft genomen om persoonsgegevens die u verwerkt te beveiligen.

Voordat u zover bent dat u dit in een register kunt registreren moet de informatie natuurlijk ophalen uit uw organisatie. U kunt dit ook zien als een kans om eens echt goed te inventariseren wat u doet en welke maatregelen u heeft getroffen om boetes en imagoschade te voorkomen. Het (samenstellen van) het register vormt namelijk de basis voor alle privacybeleid en compliance in de toekomst.

Om tot een zo kwalitatief mogelijk register te komen kunt het beste interviews houden met functionarissen vanuit verschillende disciplines bij uw organisatie. Voorbeelden hiervan zijn functionele domeinen als IT, HR, Marketing, Operations, Facilitair, Finance, Credit Management. U brengt hiermee alle verwerkingen van persoonsgegevens, bijbehorende systemen en applicaties goed in kaart. Het verdient de aanbeveling om op systeemniveau te registreren in het verwerkingenregister: welke gegevens zitten in welk systeem, met welk doeleinde worden gegevens verwerkt, wat is de verwerkingsgrondslag, wat zijn de bewaartermijnen, aan welke derden worden de gegevens verstrekt en wat zijn de organisatorische en technische beveiligingsmaatregelen.

Al met al met een intensieve klus.

DMCC kan u helpen met het opstellen van dit register. Wij werken op basis van interviews in uw organisatie om zo tot een zo kwalitatief mogelijk register te komen. Wij werken graag met u samen! Neem contact met ons op via telefoon op 088 – 777 93 11 of stuur een e-mail naar info@dmcc.nl.