Een verwerkingsregister invullen, hoe pak je dat aan?

| Erna Havinga | ,

Voorheen had je als gemeente een (algemene) meldplicht vanuit de Wet bescherming persoonsgegevens (Wbp), als het gaat om de verwerking van persoonsgegevens. Zo moest je voorafgaand aan een nieuwe verwerking een melding te maken bij de Autoriteit Persoonsgegevens (AP), nu niet meer. Met de komst van de AVG op 25 mei aanstaande gaat dit veranderen en ben je als gemeente verplicht om al je verwerkingen van persoonsgegevens bij te houden in een eigen register, een zogeheten verwerkingsregister. Hoe kan je een verwerkingsregister nu invullen?

Verantwoordingsplicht

In een register verwerkingen worden alle verwerkingen van persoonsgegevens die je als gemeente verwerkt vastgelegd. Artikel 30 van de AVG geeft een beschrijving waar dit register uit moet bestaan. Denk bijvoorbeeld aan zaken als: het doel van de verwerkingsactiviteiten, een omschrijving van de categorieën van persoonsgegevens die je verwerkt, de categorieën ontvangers van de persoonsgegevens, de bewaartermijn van de gegevens en de technische en organisatorische maatregelen om de gegevens te beschermen. Uiteraard belangrijk én noodzakelijk, want met het register kun je als gemeente voldoen aan de nieuwe verantwoordingsplicht die je straks hebt vanuit de AVG en het geeft de mogelijkheid om transparant te zijn richting de burger. Okee…, zul je misschien denken. Maar dan volgt de uitvoering en die is in praktijk vaak lastiger. Zeker voor grote gemeenten. Want hoe pak je dit aan? Hoe ga je als gemeente het register vullen? En belangrijker nog, bijhouden? Vanuit IB&P hebben we inmiddels diverse ervaringen met het invullen van het verwerkingsregister.

Aan de slag!

Het is belangrijk om je als gemeente af te vragen hoe je dit gaat organiseren. Om je hierbij een handje te helpen zijn er diverse handige tools beschikbaar. Maar hoe het register daadwerkelijk gevuld gaat krijgen binnen je gemeente, worden niet echt handvatten gegeven. Daarom heb ik onderstaand een aantal stappen voor je hoe je dit aan kunt aanpakken:

  • Stap 1: Zorg voor betrokkenheid

Organiseer een workshopsessie voor alle managers/leidinggevenden, waarbij wordt ingegaan op het wat, waarom en hoe van het verwerkingsregister. Kortom, wat is het verwerkingsregister?, waarom hebben we deze verplichting als gemeente vanuit de AVG? en hoe gaan we het register vullen en bijhouden? Tijdens deze sessie is het belangrijk dat helder wordt wat de rol en verantwoordelijkheden zijn van de proceseigenaren c.q. functioneel beheerders in dit proces. Kortom, er dient betrokkenheid vanuit het management te zijn, zodat deze medewerkers ook tijd krijgen om dit (erbij) te doen, als onderdeel van hun functie.

  • Stap 2: Train de betrokkenen

Organiseer een vervolgsessie voor de proceseigenaren c.q. functioneel beheerders en in sommige gevallen de applicatiebeheerders (dit is afhankelijk van hoe het proces binnen jouw gemeente georganiseerd is). Tijdens deze sessie wordt inhoudelijk ingegaan op alle onderdelen van het verwerkingsregister en krijgen de deelnemers een demonstratie. Zo wordt voor iedereen helder, wat, waar en hoe gedaan moet worden. Eindig de bijeenkomst met het gezamenlijk oefenen van het invullen van een verwerking in het register, waarbij de deelnemers inhoudelijk ondersteund worden en vragen kunnen stellen.

  • Stap 3: Begeleid de medewerkers die het register moeten invullen

Organiseer vervolgens gezamenlijke invoersessies, waarbij onder begeleiding het verwerkingsregister wordt ingevuld. Deze sessies zijn verplicht voor alle proceseigenaren c.q. functioneel beheerders of applicatiebeheerders (afhankelijk van wie verantwoordelijk wordt voor het operationeel bijhouden van het register). Uiteraard mogen zij ook buiten deze sessies om het register invoeren, maar 1x per week is het voor 1,5 uur verplicht om bij de invoersessie aanwezig te zijn voor ondersteuning en er voor te zorgen dat er voortgang wordt gemaakt met het invoeren van het register. Op deze manier kun je de voortgang bewaken en mogelijke problemen snel bespreken.

  • Stap 4: Beoordeel het register

Nadat het verwerkingsregister is ingevuld, vindt er een interne validatie plaats. Hierbij moeten de afdelingsmanagers hun onderdeel van het verwerkingsregister waar zij verantwoordelijk voor zijn, inhoudelijk beoordelen. De privacy officer beoordeelt vervolgens het register vakinhoudelijk, waarbij gelet wordt op zaken als: het doel, de bewaartermijnen et cetera. Voor de verificatie van de grondslag wordt aangeraden om ook de juristen te betrekken, vooral omdat het merendeel van deze grondslag te maken zal hebben met het uitvoeren van de publieke taak, waarbij beschreven moet worden vanuit welke wetgeving/grondslag dit blijkt.

  • Stap 5: Stel het register vast

Tot slot dient het verwerkingsregister ter vaststelling voorgelegd te worden aan het management. Hierna heeft het register een formele status en dient het via wijzigingsbeheerproces (die wordt ingericht om wijzigingen binnen verwerkingen via een formele weg te laten verlopen) te worden onderhouden. Daarbij zou tooling ook weer een handige ondersteuning kunnen bieden.

Aan de slag!

Bovenstaande aanpak is wellicht niet (in zijn geheel) op elke gemeente toepasbaar. Elke gemeente is immers weer anders georganiseerd. Belangrijk is dat je je tijdig voorbereid en een proces inricht om het verwerkingsregister te vullen en te onderhouden. Want nadat je weet hoe je het register moet invullen is de volgende stap hoe je het register kunt onderhouden. In mijn volgende blog zal ik daarom ingaan op hoe je dat proces kunt inrichten.

Is jouw gemeente al klaar met het verwerkingsregister? Hoe ver ben jij?

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Tips voor het beveiligen van Office 365

Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.