De Open State Foundation (OSF) concludeerde uit onderzoek naar ministeries, provincies en gemeenten in 2019 dat twee derde van de overheden het wettelijke verplichte register van de verwerkingsactiviteiten niet compleet had (Binnenlands Bestuur, 2019). Hoe is het nu twee jaar later?
Hoe wordt zo’n register nu opgesteld? Maak je daar één persoon verantwoordelijk voor of alle (afdeling)managers binnen jouw organisatie. En hoe houd je het register vervolgens bij? Wij bieden je 6 handige tips!
“ Wanneer je aan de slag gaat met de AVG is het belangrijk te beseffen dat het bestuur of directie verantwoordelijk is en niet de Functionaris Gegevensbescherming (FG). De FG heeft een adviserende en controlerende rol. Zowel de AP als de VNG geven aan dat het bijhouden van het register bij de FG kan worden belegd. Echter blijft de verwerkingsverantwoordelijke de eindverantwoordelijke.”
De verantwoordelijke moet in het verwerkingsregister het volgende registreren:
- de naam en contactgegevens van de verantwoordelijke;
- de naam en contactgegevens van de FG;
- een beknopte beschrijving van de beveiligingsmaatregelen en per verwerkingsactiviteit;
- het doel van de verwerking;
- een beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
- de (beoogde) categorieën ontvangers;
- de (beoogde) bewaartermijnen;
- wanneer er persoonsgegevens worden verstrekt aan een ander land of een internationale organisatie, moet dit ook worden vermeld.
Dé tips voor het opzetten van het verwerkingsregister
1) Vorm een team
Om snel een compleet verwerkingsregister op te ze zetten, is het goed om in een team te werken. Dat één iemand alles van elke discipline weet, is een utopie. Verzamel daarom verantwoordelijken die kennis van zaken hebben binnen hun eigen vakgebied. Binnen dit team kan van tevoren overlegd worden over de te zetten stappen, het te voeren beleid en de verdeling van de verantwoordelijkheden. Met het organiseren van groepssessies wordt iedereen aangehaakt en kan iedereen input geven. Tijdens het proces kan het team de gang van zaken met elkaar bespreken en hiernaar handelen.
Het bestuur of directie is uiteindelijk verantwoordelijk is voor het register, maar wie is verantwoordelijk voor het uitzetten van acties in de organisatie? Dit is lastig te bepalen, omdat de governance niet altijd op dezelfde manier is ingericht. (afdelings)managers zijn verantwoordelijk voor het toepassen van privacy en informatiebeveiliging binnen eigen processen en wanneer er een Privacy Officer in huis is kan deze de vakafdelingen ondersteunen bij het ondernemen van acties voor het registreren van verwerkingsactiviteiten en de FG kan hierin adviseren. Wanneer er geen Privacy Officer is, bijv. omdat we te maken hebben met een kleine organisatie dan kunnen de taken van de FG ook weer meer liggen bij het ondersteunen van vakafdelingen. Je bent dus afhankelijk van hoe de governance is ingericht binnen een organisatie.
2) Start op procesniveau
Wat is een verwerking? Voor je het weet verzand je in tal van detailprocessen. Het is onmogelijk om alle details binnen een wet direct te tackelen in het verwerkingsregister. Laat de details daarom even voor wat ze zijn en kijk naar het hoofddoel van de wet. Voor de Wet Maatschappelijke Ondersteuning (WMO) bijvoorbeeld, is het hoofddoel dat mensen langer thuis kunnen wonen en kunnen participeren in de samenleving. Kijk op grond hiervan naar de gegevens die verzameld worden, de grondslag en doelbinding. Op dit niveau kom je sneller tot resultaten. Later kun je altijd nog de verdiepingsslag maken. Gebruik in deze fase ook bestaande inventarisaties zoals overzichten van applicaties of een contractenregister. Deze kunnen je helpen bij het beoordelen op volledigheid en het register wordt sneller gevuld.
Dé tips voor het beheren van het verwerkingsregister
Als het verwerkingsregister eenmaal is opgesteld, is het zaak om niet achterover te leunen. De organisatie verandert dus het register verandert mee. Met deze tips gaat dat zeker lukken.
3) Organiseer een periodiek moment
Het beheren van het verwerkingsregister is een proces. Bij dit proces zijn medewerkers uit verschillende vakgebieden betrokken. Denk hierbij aan de informatiemanager, ICT beleidsmedewerkers, vakspecialisten en leidinggevenden. De beste manier om in contact te blijven met elkaar is door elke periodiek te spreken over de stand van zaken. Zo kan iedereen een statusupdate geven van veranderingen in de eigen werkzaamheden, beoordelen of deze effect hebben op andere processen en problemen voorleggen. Collega’s blijven betrokken en het team blijft een samenwerkingsorgaan.
4) Zorg voor tijdige signalen
Organisaties hebben de plicht om privacyrisico’s binnen processen, projecten, verwerkingen, systemen en/of diensten tijdig te signaleren. Voor advies moet de Functionaris Gegevensbescherming benaderd worden. Om privacyrisico’s snel te ontdekken is de tip te zorgen voor tussentijdse evaluatie. Speel in op de actualiteit en beoordeel het effect van wetswijzigingen op het beleid. Communiceer eventuele problemen tijdig zodat hier direct op geanticipeerd kan worden. Privacy en informatiebeveiliging zijn kwaliteitsaspecten. Zie dit niet als losse aspecten, maar neem dit mee in de dagelijkse routine.
5) Laat het register jaarlijks controleren
Het is onmogelijk om het register op orde te houden zonder periodieke afstemming. Zorg ervoor dat de Privacy Officer of Functionaris voor Gegevensbescherming, de leidinggevende of de andere procesverantwoordelijke jaarlijks controleert of het verwerkingsregister nog actueel is. Zijn er veranderingen? Hoe kunnen we deze doorvoeren? Misschien is het geheel nog helemaal up-to-date. Dat kan natuurlijk ook. Belangrijk is om te realiseren dat de Functionaris voor Gegevensbescherming dan ook daadwerkelijk betrokken moet worden bij veranderingen. Als wijzigingen en veranderingen binnen processen niet worden gedeeld, dan is het ook lastig de actualiteit te beoordelen.
6) Creëer overzichtelijke output
Een overzicht is het startpunt voor sturing, anders blijft het een platte lijst. Een goede start is het maken van een register met Excel. Bij complexere verwerkingen of wanneer een volgende stap in beheer gewenst is, schiet Excel te kort. Overzicht en efficiency zijn dan een flinke uitdaging. Daarom ontwikkelde Inergy LIAS ISMS. De slimme ISMS-tool die helpt bij het registreren en bewaken van normen, verwerkingen en de daaraan gerelateerde informatie. Het maakt via dashboards en overzichten inzichtelijk wat de status is op bepaalde thema’s en welke normen nog aandacht behoeven. Daarnaast geeft het inzicht in risico’s, uit te voeren taken en signaleringen. Die Excel sheets kunnen nu dus wel de deur uit!