Een verwerkingsregister onderhouden, hoe?

| Erna Havinga | ,

In het kader van de aankomende AVG moet uw gemeente inventariseren welke verwerkingen van persoonsgegevens binnen de gemeente plaatsvinden. In mijn eerste blog ‘Een verwerkingsregister invullen, hoe doe je dat?’ ben ik ingegaan op hoe je een verwerkingsregister kunt invullen, en wat hier in moet staan. Nadat je weet hoe je het register kunt invullen is de volgende vraag vanzelfsprekend hoe je het register moet onderhouden. Wie is hiervoor verantwoordelijk en hoe borg je dat dit daadwerkelijk wordt gedaan? In deze tweede blog zal ik bespreken hoe je dit proces kunt inrichten binnen jouw gemeente.

Wie is er verantwoordelijk?

Stap 1 is afgevinkt; je hebt je als gemeente voorbereid en een proces ingericht om het verwerkingsregister in te vullen. En dan? De volgende stap is het onderhouden van het register. Wie gaat dit doen en hoe richt je dit in? Stap 2 is dus het aanwijzen van een verantwoordelijke voor het verwerkingsregister. Vaak wordt gedacht dat de Functionaris Gegevensbescherming (FG) hier de aangewezen persoon voor is, die moet immers toezien dat er een verwerkingsregister is. Niets is minder waar.

Het klopt dat de FG moet toezien dat er een verwerkingsregister is, maar de FG is vaak niet de persoon die dit operationeel onderhoudt. Simpelweg omdat een wijziging in het proces of implementatie van een nieuwe applicatie niet altijd zichtbaar is voor de FG. In dit geval moet je ook de toezichthoudende rol en de uitvoerende rol uit elkaar halen (slager die zijn eigen vlees keurt). Maar wie is dan wel de aangewezen persoon?

Toezichthoudende rol versus uitvoerende rol

Naast de FG, die eindverantwoordelijke is op algemeen niveau (= toezichthoudende rol), moet er daarnaast ook één verantwoordelijke per afdeling binnen de gemeente aangewezen worden die operationeel verantwoordelijk is (= uitvoerende rol). Deze persoon krijgt de verantwoordelijkheid om voor zijn of haar onderdeel of afdeling binnen de gemeente het verwerkingsregister bij te houden.

Hierbij onderscheiden we twee rollen: wanneer er gebruik wordt gemaakt van een tool, kan het zijn dat deze, i.v.m. de licentiekosten, voor een selecte groep medewerkers beschikbaar is. Dit zijn vaak de personen die verantwoordelijk zijn voor het administratief onderhouden en bijhouden van het register. Maar let op, zij zijn niet automatisch ook de eindverantwoordelijke voor het onderhouden van het register.

Hiernaast is het dus van belang om een medewerker per afdeling aan te wijzen die eindverantwoordelijk is. In de praktijk zie je dat dit vaak de applicatiebeheerder, functioneel beheerder of business analist is, die een bepaalde afdeling onder zijn of haar hoede heeft. Het kan zijn dat dit al de persoon is die ook toegang heeft tot de tool maar dat hoeft niet. Indien zij geen toegang hebben tot de tool is dit geen probleem. Zij kunnen in dat geval de wijzigingen doorgeven aan de persoon die administratief het register onderhoudt.

Onderhoudsprocessen

Om te zorgen dat het bijhouden van het verwerkingsregister geen aparte (extra) administratieve rompslomp wordt, is het aan te raden om het onderhoud te integreren in al bestaande processen. Zo hebben sommige gemeenten bijvoorbeeld een Project Management Office (PMO) afdeling. Hier worden alle nieuwe projecten die binnen de gemeente worden uitgevoerd, geregistreerd en gemonitord.

Wanneer er een nieuw project of grote wijziging wordt ingediend die projectmatig wordt aangevlogen, is dit de ideale plaats om een Privacy Impact Assessment (PIA) aan te vragen. En dat is niet alles, naast het aanvragen van een PIA, kun je hier als randvoorwaarde binnen alle projecten meenemen dat het verwerkingsregister (indien nodig) moet worden bijgewerkt als standaard activiteit. Aangezien het bijhouden van de gegevensverwerkingen wordt gecombineerd met een bestaand proces, zoals het uitvoeren van de PIA, voorkom je dat je afdelingen op verschillende momenten lastigvalt.

Conclusie

Om er voor te zorgen dat het register over een jaar ook echt actueel is, moeten er controle mechanismen geïmplementeerd zijn om te borgen dat het register wordt bijgehouden. Dit is het moment waar de FG wel om de hoek komt kijken, want hij of zij is degene die de controle doet en moet toezien op de effectiviteit van het controlemechanisme.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO's van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.

Stappenplan voor het kiezen van een ISMS-pakket

Als je een ISMS-pakket wilt aanschaffen, waar moet je dan op letten? In deze blog leg ik de focus niet op het proces zelf, maar op het selecteren van het ISMS-pakket (software) om het proces te ondersteunen.

Informatiebeveiliging bezien vanuit de rekenkamercommissie

Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging. Maar welke zaken onderzoeken ze dan zoal en welke aanpak hanteren ze hierbij? Dat en meer lees je in deze blog.

Dat gaat je (n)iets aan

IB&P is een adviesbureau op het gebied van informatiebeveiliging en privacy. We richten ons primair op de (lokale) overheid. We adviseren en ondersteunen bij het implementeren én blijvend voldoen aan o.a. de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG).