Skip to main content

Een verwerkingsregister onderhouden, hoe?

| Erna Havinga | ,

In het kader van de aankomende AVG moet uw gemeente inventariseren welke verwerkingen van persoonsgegevens binnen de gemeente plaatsvinden. In mijn eerste blog ‘Een verwerkingsregister invullen, hoe doe je dat?’ ben ik ingegaan op hoe je een verwerkingsregister kunt invullen, en wat hier in moet staan. Nadat je weet hoe je het register kunt invullen is de volgende vraag vanzelfsprekend hoe je het register moet onderhouden. Wie is hiervoor verantwoordelijk en hoe borg je dat dit daadwerkelijk wordt gedaan? In deze tweede blog zal ik bespreken hoe je dit proces kunt inrichten binnen jouw gemeente.

Wie is er verantwoordelijk?

Stap 1 is afgevinkt; je hebt je als gemeente voorbereid en een proces ingericht om het verwerkingsregister in te vullen. En dan? De volgende stap is het onderhouden van het register. Wie gaat dit doen en hoe richt je dit in? Stap 2 is dus het aanwijzen van een verantwoordelijke voor het verwerkingsregister. Vaak wordt gedacht dat de Functionaris Gegevensbescherming (FG) hier de aangewezen persoon voor is, die moet immers toezien dat er een verwerkingsregister is. Niets is minder waar.

Het klopt dat de FG moet toezien dat er een verwerkingsregister is, maar de FG is vaak niet de persoon die dit operationeel onderhoudt. Simpelweg omdat een wijziging in het proces of implementatie van een nieuwe applicatie niet altijd zichtbaar is voor de FG. In dit geval moet je ook de toezichthoudende rol en de uitvoerende rol uit elkaar halen (slager die zijn eigen vlees keurt). Maar wie is dan wel de aangewezen persoon?

Toezichthoudende rol versus uitvoerende rol

Naast de FG, die eindverantwoordelijke is op algemeen niveau (= toezichthoudende rol), moet er daarnaast ook één verantwoordelijke per afdeling binnen de gemeente aangewezen worden die operationeel verantwoordelijk is (= uitvoerende rol). Deze persoon krijgt de verantwoordelijkheid om voor zijn of haar onderdeel of afdeling binnen de gemeente het verwerkingsregister bij te houden.

Hierbij onderscheiden we twee rollen: wanneer er gebruik wordt gemaakt van een tool, kan het zijn dat deze, i.v.m. de licentiekosten, voor een selecte groep medewerkers beschikbaar is. Dit zijn vaak de personen die verantwoordelijk zijn voor het administratief onderhouden en bijhouden van het register. Maar let op, zij zijn niet automatisch ook de eindverantwoordelijke voor het onderhouden van het register.

Hiernaast is het dus van belang om een medewerker per afdeling aan te wijzen die eindverantwoordelijk is. In de praktijk zie je dat dit vaak de applicatiebeheerder, functioneel beheerder of business analist is, die een bepaalde afdeling onder zijn of haar hoede heeft. Het kan zijn dat dit al de persoon is die ook toegang heeft tot de tool maar dat hoeft niet. Indien zij geen toegang hebben tot de tool is dit geen probleem. Zij kunnen in dat geval de wijzigingen doorgeven aan de persoon die administratief het register onderhoudt.

Onderhoudsprocessen

Om te zorgen dat het bijhouden van het verwerkingsregister geen aparte (extra) administratieve rompslomp wordt, is het aan te raden om het onderhoud te integreren in al bestaande processen. Zo hebben sommige gemeenten bijvoorbeeld een Project Management Office (PMO) afdeling. Hier worden alle nieuwe projecten die binnen de gemeente worden uitgevoerd, geregistreerd en gemonitord.

Wanneer er een nieuw project of grote wijziging wordt ingediend die projectmatig wordt aangevlogen, is dit de ideale plaats om een Privacy Impact Assessment (PIA) aan te vragen. En dat is niet alles, naast het aanvragen van een PIA, kun je hier als randvoorwaarde binnen alle projecten meenemen dat het verwerkingsregister (indien nodig) moet worden bijgewerkt als standaard activiteit. Aangezien het bijhouden van de gegevensverwerkingen wordt gecombineerd met een bestaand proces, zoals het uitvoeren van de PIA, voorkom je dat je afdelingen op verschillende momenten lastigvalt.

Conclusie

Om er voor te zorgen dat het register over een jaar ook echt actueel is, moeten er controle mechanismen geïmplementeerd zijn om te borgen dat het register wordt bijgehouden. Dit is het moment waar de FG wel om de hoek komt kijken, want hij of zij is degene die de controle doet en moet toezien op de effectiviteit van het controlemechanisme.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…