Een verwerkingsregister onderhouden, hoe?

| Erna Havinga | ,

In het kader van de aankomende AVG moet uw gemeente inventariseren welke verwerkingen van persoonsgegevens binnen de gemeente plaatsvinden. In mijn eerste blog ‘Een verwerkingsregister invullen, hoe doe je dat?’ ben ik ingegaan op hoe je een verwerkingsregister kunt invullen, en wat hier in moet staan. Nadat je weet hoe je het register kunt invullen is de volgende vraag vanzelfsprekend hoe je het register moet onderhouden. Wie is hiervoor verantwoordelijk en hoe borg je dat dit daadwerkelijk wordt gedaan? In deze tweede blog zal ik bespreken hoe je dit proces kunt inrichten binnen jouw gemeente.

Wie is er verantwoordelijk?

Stap 1 is afgevinkt; je hebt je als gemeente voorbereid en een proces ingericht om het verwerkingsregister in te vullen. En dan? De volgende stap is het onderhouden van het register. Wie gaat dit doen en hoe richt je dit in? Stap 2 is dus het aanwijzen van een verantwoordelijke voor het verwerkingsregister. Vaak wordt gedacht dat de Functionaris Gegevensbescherming (FG) hier de aangewezen persoon voor is, die moet immers toezien dat er een verwerkingsregister is. Niets is minder waar.

Het klopt dat de FG moet toezien dat er een verwerkingsregister is, maar de FG is vaak niet de persoon die dit operationeel onderhoudt. Simpelweg omdat een wijziging in het proces of implementatie van een nieuwe applicatie niet altijd zichtbaar is voor de FG. In dit geval moet je ook de toezichthoudende rol en de uitvoerende rol uit elkaar halen (slager die zijn eigen vlees keurt). Maar wie is dan wel de aangewezen persoon?

Toezichthoudende rol versus uitvoerende rol

Naast de FG, die eindverantwoordelijke is op algemeen niveau (= toezichthoudende rol), moet er daarnaast ook één verantwoordelijke per afdeling binnen de gemeente aangewezen worden die operationeel verantwoordelijk is (= uitvoerende rol). Deze persoon krijgt de verantwoordelijkheid om voor zijn of haar onderdeel of afdeling binnen de gemeente het verwerkingsregister bij te houden.

Hierbij onderscheiden we twee rollen: wanneer er gebruik wordt gemaakt van een tool, kan het zijn dat deze, i.v.m. de licentiekosten, voor een selecte groep medewerkers beschikbaar is. Dit zijn vaak de personen die verantwoordelijk zijn voor het administratief onderhouden en bijhouden van het register. Maar let op, zij zijn niet automatisch ook de eindverantwoordelijke voor het onderhouden van het register.

Hiernaast is het dus van belang om een medewerker per afdeling aan te wijzen die eindverantwoordelijk is. In de praktijk zie je dat dit vaak de applicatiebeheerder, functioneel beheerder of business analist is, die een bepaalde afdeling onder zijn of haar hoede heeft. Het kan zijn dat dit al de persoon is die ook toegang heeft tot de tool maar dat hoeft niet. Indien zij geen toegang hebben tot de tool is dit geen probleem. Zij kunnen in dat geval de wijzigingen doorgeven aan de persoon die administratief het register onderhoudt.

Onderhoudsprocessen

Om te zorgen dat het bijhouden van het verwerkingsregister geen aparte (extra) administratieve rompslomp wordt, is het aan te raden om het onderhoud te integreren in al bestaande processen. Zo hebben sommige gemeenten bijvoorbeeld een Project Management Office (PMO) afdeling. Hier worden alle nieuwe projecten die binnen de gemeente worden uitgevoerd, geregistreerd en gemonitord.

Wanneer er een nieuw project of grote wijziging wordt ingediend die projectmatig wordt aangevlogen, is dit de ideale plaats om een Privacy Impact Assessment (PIA) aan te vragen. En dat is niet alles, naast het aanvragen van een PIA, kun je hier als randvoorwaarde binnen alle projecten meenemen dat het verwerkingsregister (indien nodig) moet worden bijgewerkt als standaard activiteit. Aangezien het bijhouden van de gegevensverwerkingen wordt gecombineerd met een bestaand proces, zoals het uitvoeren van de PIA, voorkom je dat je afdelingen op verschillende momenten lastigvalt.

Conclusie

Om er voor te zorgen dat het register over een jaar ook echt actueel is, moeten er controle mechanismen geïmplementeerd zijn om te borgen dat het register wordt bijgehouden. Dit is het moment waar de FG wel om de hoek komt kijken, want hij of zij is degene die de controle doet en moet toezien op de effectiviteit van het controlemechanisme.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…

De ENSIA-coördinator als projectleider?

Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.

De rol van de gemeenteraad bij informatiebeveiliging en privacy

De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden…

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog