Skip to main content

Een verwerkingsregister invullen, hoe pak je dat aan?

| Erna Havinga | ,

Voorheen had je als gemeente een (algemene) meldplicht vanuit de Wet bescherming persoonsgegevens (Wbp), als het gaat om de verwerking van persoonsgegevens. Zo moest je voorafgaand aan een nieuwe verwerking een melding te maken bij de Autoriteit Persoonsgegevens (AP), nu niet meer. Met de komst van de AVG op 25 mei aanstaande gaat dit veranderen en ben je als gemeente verplicht om al je verwerkingen van persoonsgegevens bij te houden in een eigen register, een zogeheten verwerkingsregister. Hoe kan je een verwerkingsregister nu invullen?

Verantwoordingsplicht

In een register verwerkingen worden alle verwerkingen van persoonsgegevens die je als gemeente verwerkt vastgelegd. Artikel 30 van de AVG geeft een beschrijving waar dit register uit moet bestaan. Denk bijvoorbeeld aan zaken als: het doel van de verwerkingsactiviteiten, een omschrijving van de categorieën van persoonsgegevens die je verwerkt, de categorieën ontvangers van de persoonsgegevens, de bewaartermijn van de gegevens en de technische en organisatorische maatregelen om de gegevens te beschermen. Uiteraard belangrijk én noodzakelijk, want met het register kun je als gemeente voldoen aan de nieuwe verantwoordingsplicht die je straks hebt vanuit de AVG en het geeft de mogelijkheid om transparant te zijn richting de burger. Okee…, zul je misschien denken. Maar dan volgt de uitvoering en die is in praktijk vaak lastiger. Zeker voor grote gemeenten. Want hoe pak je dit aan? Hoe ga je als gemeente het register vullen? En belangrijker nog, bijhouden? Vanuit IB&P hebben we inmiddels diverse ervaringen met het invullen van het verwerkingsregister.

Aan de slag!

Het is belangrijk om je als gemeente af te vragen hoe je dit gaat organiseren. Om je hierbij een handje te helpen zijn er diverse handige tools beschikbaar. Maar hoe het register daadwerkelijk gevuld gaat krijgen binnen je gemeente, worden niet echt handvatten gegeven. Daarom heb ik onderstaand een aantal stappen voor je hoe je dit aan kunt aanpakken:

  • Stap 1: Zorg voor betrokkenheid

Organiseer een workshopsessie voor alle managers/leidinggevenden, waarbij wordt ingegaan op het wat, waarom en hoe van het verwerkingsregister. Kortom, wat is het verwerkingsregister?, waarom hebben we deze verplichting als gemeente vanuit de AVG? en hoe gaan we het register vullen en bijhouden? Tijdens deze sessie is het belangrijk dat helder wordt wat de rol en verantwoordelijkheden zijn van de proceseigenaren c.q. functioneel beheerders in dit proces. Kortom, er dient betrokkenheid vanuit het management te zijn, zodat deze medewerkers ook tijd krijgen om dit (erbij) te doen, als onderdeel van hun functie.

  • Stap 2: Train de betrokkenen

Organiseer een vervolgsessie voor de proceseigenaren c.q. functioneel beheerders en in sommige gevallen de applicatiebeheerders (dit is afhankelijk van hoe het proces binnen jouw gemeente georganiseerd is). Tijdens deze sessie wordt inhoudelijk ingegaan op alle onderdelen van het verwerkingsregister en krijgen de deelnemers een demonstratie. Zo wordt voor iedereen helder, wat, waar en hoe gedaan moet worden. Eindig de bijeenkomst met het gezamenlijk oefenen van het invullen van een verwerking in het register, waarbij de deelnemers inhoudelijk ondersteund worden en vragen kunnen stellen.

  • Stap 3: Begeleid de medewerkers die het register moeten invullen

Organiseer vervolgens gezamenlijke invoersessies, waarbij onder begeleiding het verwerkingsregister wordt ingevuld. Deze sessies zijn verplicht voor alle proceseigenaren c.q. functioneel beheerders of applicatiebeheerders (afhankelijk van wie verantwoordelijk wordt voor het operationeel bijhouden van het register). Uiteraard mogen zij ook buiten deze sessies om het register invoeren, maar 1x per week is het voor 1,5 uur verplicht om bij de invoersessie aanwezig te zijn voor ondersteuning en er voor te zorgen dat er voortgang wordt gemaakt met het invoeren van het register. Op deze manier kun je de voortgang bewaken en mogelijke problemen snel bespreken.

  • Stap 4: Beoordeel het register

Nadat het verwerkingsregister is ingevuld, vindt er een interne validatie plaats. Hierbij moeten de afdelingsmanagers hun onderdeel van het verwerkingsregister waar zij verantwoordelijk voor zijn, inhoudelijk beoordelen. De privacy officer beoordeelt vervolgens het register vakinhoudelijk, waarbij gelet wordt op zaken als: het doel, de bewaartermijnen et cetera. Voor de verificatie van de grondslag wordt aangeraden om ook de juristen te betrekken, vooral omdat het merendeel van deze grondslag te maken zal hebben met het uitvoeren van de publieke taak, waarbij beschreven moet worden vanuit welke wetgeving/grondslag dit blijkt.

  • Stap 5: Stel het register vast

Tot slot dient het verwerkingsregister ter vaststelling voorgelegd te worden aan het management. Hierna heeft het register een formele status en dient het via wijzigingsbeheerproces (die wordt ingericht om wijzigingen binnen verwerkingen via een formele weg te laten verlopen) te worden onderhouden. Daarbij zou tooling ook weer een handige ondersteuning kunnen bieden.

Aan de slag!

Bovenstaande aanpak is wellicht niet (in zijn geheel) op elke gemeente toepasbaar. Elke gemeente is immers weer anders georganiseerd. Belangrijk is dat je je tijdig voorbereid en een proces inricht om het verwerkingsregister te vullen en te onderhouden. Want nadat je weet hoe je het register moet invullen is de volgende stap hoe je het register kunt onderhouden. In mijn volgende blog zal ik daarom ingaan op hoe je dat proces kunt inrichten.

Is jouw gemeente al klaar met het verwerkingsregister? Hoe ver ben jij?

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

BCM-routekaart voor gemeenten

Met een goed geïmplementeerd BCM-systeem ben je als organisatie beter voorbereid, waardoor je sneller en effectiever kunt reageren op verstoringen.

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…