Snel naar content
iphone airpods potlood en bril naast elkaar op tafel

6 tips voor het opzetten en beheren van het verwerkingsregister voor AVG compliancy

De Open State Foundation (OSF) concludeerde uit onderzoek naar ministeries, provincies en gemeenten in 2019 dat twee derde van de overheden het wettelijke verplichte register van de verwerkingsactiviteiten niet compleet had (Binnenlands Bestuur, 2019). Hoe is het nu twee jaar later?

Hoe wordt zo’n register nu opgesteld? Maak je daar één persoon verantwoordelijk voor of alle (afdeling)managers binnen jouw organisatie. En hoe houd je het register vervolgens bij? Wij bieden je 6 handige tips!

“ Wanneer je aan de slag gaat met de AVG is het belangrijk te beseffen dat het bestuur of directie verantwoordelijk is en niet de Functionaris Gegevensbescherming (FG). De FG heeft een adviserende en controlerende rol. Zowel de AP als de VNG geven aan dat het bijhouden van het register bij de FG kan worden belegd. Echter blijft de verwerkingsverantwoordelijke de eindverantwoordelijke.”

De verantwoordelijke moet in het verwerkingsregister het volgende registreren:

  • de naam en contactgegevens van de verantwoordelijke;
  • de naam en contactgegevens van de FG;
  • een beknopte beschrijving van de beveiligingsmaatregelen en per verwerkingsactiviteit;
  • het doel van de verwerking;
  • een beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
  • de (beoogde) categorieën ontvangers;
  • de (beoogde) bewaartermijnen;
  • wanneer er persoonsgegevens worden verstrekt aan een ander land of een internationale organisatie, moet dit ook worden vermeld.

Dé tips voor het opzetten van het verwerkingsregister

1) Vorm een team

Om snel een compleet verwerkingsregister op te ze zetten, is het goed om in een team te werken. Dat één iemand alles van elke discipline weet, is een utopie. Verzamel daarom verantwoordelijken die kennis van zaken hebben binnen hun eigen vakgebied. Binnen dit team kan van tevoren overlegd worden over de te zetten stappen, het te voeren beleid en de verdeling van de verantwoordelijkheden. Met het organiseren van groepssessies wordt iedereen aangehaakt en kan iedereen input geven. Tijdens het proces kan het team de gang van zaken met elkaar bespreken en hiernaar handelen.

Het bestuur of directie is uiteindelijk verantwoordelijk is voor het register, maar wie is verantwoordelijk voor het uitzetten van acties in de organisatie? Dit is lastig te bepalen, omdat de governance niet altijd op dezelfde manier is ingericht. (afdelings)managers zijn verantwoordelijk voor het toepassen van privacy en informatiebeveiliging binnen eigen processen en wanneer er een Privacy Officer in huis is kan deze de vakafdelingen ondersteunen bij het ondernemen van acties voor het registreren van verwerkingsactiviteiten en de FG kan hierin adviseren. Wanneer er geen Privacy Officer is, bijv. omdat we te maken hebben met een kleine organisatie dan kunnen de taken van de FG ook weer meer liggen bij het ondersteunen van vakafdelingen. Je bent dus afhankelijk van hoe de governance is ingericht binnen een organisatie.

2) Start op procesniveau

Wat is een verwerking? Voor je het weet verzand je in tal van detailprocessen. Het is onmogelijk om alle details binnen een wet direct te tackelen in het verwerkingsregister. Laat de details daarom even voor wat ze zijn en kijk naar het hoofddoel van de wet. Voor de Wet Maatschappelijke Ondersteuning (WMO) bijvoorbeeld, is het hoofddoel dat mensen langer thuis kunnen wonen en kunnen participeren in de samenleving. Kijk op grond hiervan naar de gegevens die verzameld worden, de grondslag en doelbinding. Op dit niveau kom je sneller tot resultaten. Later kun je altijd nog de verdiepingsslag maken. Gebruik in deze fase ook bestaande inventarisaties zoals overzichten van applicaties of een contractenregister. Deze kunnen je helpen bij het beoordelen op volledigheid en het register wordt sneller gevuld.

Dé tips voor het beheren van het verwerkingsregister

Als het verwerkingsregister eenmaal is opgesteld, is het zaak om niet achterover te leunen. De organisatie verandert dus het register verandert mee. Met deze tips gaat dat zeker lukken.

3) Organiseer een periodiek moment

Het beheren van het verwerkingsregister is een proces. Bij dit proces zijn medewerkers uit verschillende vakgebieden betrokken. Denk hierbij aan de informatiemanager, ICT beleidsmedewerkers, vakspecialisten en leidinggevenden. De beste manier om in contact te blijven met elkaar is door elke periodiek te spreken over de stand van zaken. Zo kan iedereen een statusupdate geven van veranderingen in de eigen werkzaamheden, beoordelen of deze effect hebben op andere processen en problemen voorleggen. Collega’s blijven betrokken en het team blijft een samenwerkingsorgaan.

4) Zorg voor tijdige signalen

Organisaties hebben de plicht om privacyrisico’s binnen processen, projecten, verwerkingen, systemen en/of diensten tijdig te signaleren. Voor advies moet de Functionaris Gegevensbescherming benaderd worden. Om privacyrisico’s snel te ontdekken is de tip te zorgen voor tussentijdse evaluatie. Speel in op de actualiteit en beoordeel het effect van wetswijzigingen op het beleid. Communiceer eventuele problemen tijdig zodat hier direct op geanticipeerd kan worden. Privacy en informatiebeveiliging zijn kwaliteitsaspecten. Zie dit niet als losse aspecten, maar neem dit mee in de dagelijkse routine.

5) Laat het register jaarlijks controleren

Het is onmogelijk om het register op orde te houden zonder periodieke afstemming. Zorg ervoor dat de Privacy Officer of Functionaris voor Gegevensbescherming, de leidinggevende of de andere procesverantwoordelijke jaarlijks controleert of het verwerkingsregister nog actueel is. Zijn er veranderingen? Hoe kunnen we deze doorvoeren? Misschien is het geheel nog helemaal up-to-date. Dat kan natuurlijk ook. Belangrijk is om te realiseren dat de Functionaris voor Gegevensbescherming dan ook daadwerkelijk betrokken moet worden bij veranderingen. Als wijzigingen en veranderingen binnen processen niet worden gedeeld, dan is het ook lastig de actualiteit te beoordelen.

6) Creëer overzichtelijke output

Een overzicht is het startpunt voor sturing, anders blijft het een platte lijst. Een goede start is het maken van een register met Excel. Bij complexere verwerkingen of wanneer een volgende stap in beheer gewenst is, schiet Excel te kort. Overzicht en efficiency zijn dan een flinke uitdaging. Daarom ontwikkelde Inergy LIAS ISMS. De slimme ISMS-tool die helpt bij het registreren en bewaken van normen, verwerkingen en de daaraan gerelateerde informatie. Het maakt via dashboards en overzichten inzichtelijk wat de status is op bepaalde thema’s en welke normen nog aandacht behoeven. Daarnaast geeft het inzicht in risico’s, uit te voeren taken en signaleringen. Die Excel sheets kunnen nu dus wel de deur uit!

Meer over LIAS ISMS»

Blijf op de hoogte

De auteur

Inergy
Inergy

Wij eten, drinken en ademen data – en wat je ermee kan doen. Dat delen we graag met jou. Meer weten over Inergy? Neem contact met ons op via 0348 45 76 66 of info@inergy.nl.

Meer berichten

Alle berichten

Dé valkuilen en tips voor de gemeentelijke ENSIA-audit

Dé valkuilen en tips voor de gemeentelijke ENSIA-audit

Een audit goed voorbereiden? Logisch dat je daar vragen over hebt. Zoals wij kijken naar de ENSIA-audit is het vooral...

Lees verder

Een dag uit het leven van Arjan van Honk, senior BI Developer bij Inergy

Een dag uit het leven van Arjan van Honk, senior BI Developer bij Inergy

Bij Inergy werken ruim 160 collega’s. Hoe zien hun werkdagen eruit? Deze keer geeft Arjan van Honk, Senior BI Developer/Consultant bij Inergy, een kijkje in zijn werkdag. Een BI-developer is iemand die verantwoordelijk is voor het bouwen en onderhouden van data-oplossingen van onze klanten. Lees over zijn dynamische werkdag in Barcelona in deze blog!

Lees verder

Onze kijk op informatiebeveiliging in 2023

Onze kijk op informatiebeveiliging in 2023

Onze auditors doen honderden audits per jaar. Het valt op ons dat een aantal vragen vaak gesteld worden. Of het nu gaat een ENSIA, WPG, SUWI, VIPP of DIGID Audit. Een aantal zaken zetten we graag voor je op een rijtje omdat jij dit ook wil weten.

Lees verder