In het kader van de aankomende AVG moet uw gemeente inventariseren welke verwerkingen van persoonsgegevens binnen de gemeente plaatsvinden. In mijn eerste blog ‘Een verwerkingsregister invullen, hoe doe je dat?’ ben ik ingegaan op hoe je een verwerkingsregister kunt invullen, en wat hier in moet staan. Nadat je weet hoe je het register kunt invullen is de volgende vraag vanzelfsprekend hoe je het register moet onderhouden. Wie is hiervoor verantwoordelijk en hoe borg je dat dit daadwerkelijk wordt gedaan? In deze tweede blog zal ik bespreken hoe je dit proces kunt inrichten binnen jouw gemeente.

Wie is er verantwoordelijk?

Stap 1 is afgevinkt; je hebt je als gemeente voorbereid en een proces ingericht om het verwerkingsregister in te vullen. En dan? De volgende stap is het onderhouden van het register. Wie gaat dit doen en hoe richt je dit in? Stap 2 is dus het aanwijzen van een verantwoordelijke voor het verwerkingsregister. Vaak wordt gedacht dat de Functionaris Gegevensbescherming (FG) hier de aangewezen persoon voor is, die moet immers toezien dat er een verwerkingsregister is. Niets is minder waar.

Het klopt dat de FG moet toezien dat er een verwerkingsregister is, maar de FG is vaak niet de persoon die dit operationeel onderhoudt. Simpelweg omdat een wijziging in het proces of implementatie van een nieuwe applicatie niet altijd zichtbaar is voor de FG. In dit geval moet je ook de toezichthoudende rol en de uitvoerende rol uit elkaar halen (slager die zijn eigen vlees keurt). Maar wie is dan wel de aangewezen persoon?

Toezichthoudende rol versus uitvoerende rol

Naast de FG, die eindverantwoordelijke is op algemeen niveau (= toezichthoudende rol), moet er daarnaast ook één verantwoordelijke per afdeling binnen de gemeente aangewezen worden die operationeel verantwoordelijk is (= uitvoerende rol). Deze persoon krijgt de verantwoordelijkheid om voor zijn of haar onderdeel of afdeling binnen de gemeente het verwerkingsregister bij te houden.

Hierbij onderscheiden we twee rollen: wanneer er gebruik wordt gemaakt van een tool, kan het zijn dat deze, i.v.m. de licentiekosten, voor een selecte groep medewerkers beschikbaar is. Dit zijn vaak de personen die verantwoordelijk zijn voor het administratief onderhouden en bijhouden van het register. Maar let op, zij zijn niet automatisch ook de eindverantwoordelijke voor het onderhouden van het register.

Hiernaast is het dus van belang om een medewerker per afdeling aan te wijzen die eindverantwoordelijk is. In de praktijk zie je dat dit vaak de applicatiebeheerder, functioneel beheerder of business analist is, die een bepaalde afdeling onder zijn of haar hoede heeft. Het kan zijn dat dit al de persoon is die ook toegang heeft tot de tool maar dat hoeft niet. Indien zij geen toegang hebben tot de tool is dit geen probleem. Zij kunnen in dat geval de wijzigingen doorgeven aan de persoon die administratief het register onderhoudt.

Onderhoudsprocessen

Om te zorgen dat het bijhouden van het verwerkingsregister geen aparte (extra) administratieve rompslomp wordt, is het aan te raden om het onderhoud te integreren in al bestaande processen. Zo hebben sommige gemeenten bijvoorbeeld een Project Management Office (PMO) afdeling. Hier worden alle nieuwe projecten die binnen de gemeente worden uitgevoerd, geregistreerd en gemonitord.

Wanneer er een nieuw project of grote wijziging wordt ingediend die projectmatig wordt aangevlogen, is dit de ideale plaats om een Privacy Impact Assessment (PIA) aan te vragen. En dat is niet alles, naast het aanvragen van een PIA, kun je hier als randvoorwaarde binnen alle projecten meenemen dat het verwerkingsregister (indien nodig) moet worden bijgewerkt als standaard activiteit. Aangezien het bijhouden van de gegevensverwerkingen wordt gecombineerd met een bestaand proces, zoals het uitvoeren van de PIA, voorkom je dat je afdelingen op verschillende momenten lastigvalt.

Conclusie

Om er voor te zorgen dat het register over een jaar ook echt actueel is, moeten er controle mechanismen geïmplementeerd zijn om te borgen dat het register wordt bijgehouden. Dit is het moment waar de FG wel om de hoek komt kijken, want hij of zij is degene die de controle doet en moet toezien op de effectiviteit van het controlemechanisme.