Sinds de komst van de AVG moeten gemeenten alle processen waarin persoonsgegevens worden verwerkt vastleggen én bijhouden in een zogenoemd verwerkingsregister. In 2018 schreef ik al een blog over hoe je een verwerkingsregister opstelt. Maar hoe zorg je er nu voor dat het bijhouden van het verwerkingsregister ook op een juiste en consistente wijze gebeurt?

In het verwerkingsregister worden alle verwerkingen van persoonsgegevens die je als gemeente verwerkt vastgelegd. Zaken die worden vastgelegd zijn bijvoorbeeld het doel van de verwerkingsactiviteiten, een omschrijving van de categorieën van persoonsgegevens die je verwerkt, andere partijen waar de gegevens mee gedeeld worden en de bewaartermijn van de gegevens. Ook wordt er vastgelegd hoe de gegevens beveiligd zijn, dus welke technische en organisatorische maatregelen er worden genomen om de gegevens te beschermen (zoals encryptie, toegangscontrole, pseudonimisering etc.). Het verwerkingsregister is een levend document en moet regelmatig worden bijgewerkt, bijvoorbeeld wanneer een werkproces verandert, er een nieuw werkproces wordt gestart of wanneer een werkproces wordt beëindigd.

Wat eraan vooraf ging

Veel gemeenten zijn bij de invoering van de AVG in 2018 projectmatig aan de slag gegaan met het opstellen en invullen van het verwerkingsregister, waarbij een grote inventarisatie is gedaan van alle verwerkingen die binnen de gemeente worden uitgevoerd. Nadat het register eenmaal was ingevuld en vastgesteld is het bijhouden ervan vaak belegd in de organisatie en is het project daarmee afgerond. Maar dan komt de vraag: wordt dit in de praktijk daadwerkelijk bijgehouden en zo ja, gebeurt dit dan ook op een juiste en consistente wijze? Indien dit niet juist of met een bepaalde regelmaat gebeurt, raakt het register al snel vervuilt. En wanneer je veel tijd en moeite in het opstellen van het register hebt gestoken, is het zonde als je dit jaarlijks weer helemaal opnieuw moet inventariseren (= (extra) administratieve rompslomp). Er zijn daarom een aantal manieren om te zorgen dat dit wel efficiënt gebeurt:

1. Zorg voor bewustwording
   Ook hiervoor geldt weer dat het valt of staat bij bewustwording. Lijnmanagers (of applicatiebeheerders) zijn verantwoordelijk voor de verwerkingen binnen hun afdelingen en de systemen die daar gebruikt worden. Het is hun verantwoordelijkheid dat deze verwerkingen juist in het register staan/worden opgenomen. Zij moeten zich er dus van bewust zijn dat wanneer processen veranderen, eindigen of wanneer er een nieuw proces gestart wordt, dit ook moet worden gewijzigd in het verwerkingsregister. In veel gemeenten zijn lijnmanagers bewust gemaakt van hun taken en bijhorende verantwoordelijkheden middels een bewustwordingscampagne ten tijde van de AVG-implementatie. Maar zij hebben een hele hoop taken/verantwoordelijkheden op hun bordje liggen, dus je begrijpt dat dit anno 2021 alweer weggezakt kan zijn bij velen. En als het gaat om bewustwording zit de kracht hem in de herhaling. Kortom, blijf hierover communiceren! Herinner en wijs verantwoordelijke lijnmanagers regelmatig op de afspraken die zijn gemaakt rondom het bijhouden van het verwerkingsregister en hun rol/verantwoordelijkheid daarin.
   
2. Zorg voor borging in bestaande procedures
   Je kunt er ook voor kiezen om het onderdeel te maken van bestaande procedures. Zo zijn er binnen de implementatie van de AVG diverse procedures en werkwijzen opgesteld om de privacy te borgen. Een van deze procedures is het uitvoeren van een Data Protection Impact Assessment (DPIA). Wanneer er een grote wijziging of nieuw proces/systeem wordt geïntroduceerd binnen de organisatie, dient een DPIA te worden uitgevoerd om te zien wat de impact is met betrekking tot de privacy. Onderdeel van deze DPIA-procedure kan zijn, dat je hier als randvoorwaarde opneemt dat de verwerking wordt aangemeld bij het verwerkingsregister. Als je het bijhouden van de gegevensverwerkingen combineert met een bestaand proces, wordt het sneller een gewoonte om dit te doen en wordt het minder snel vergeten. Ook zien we dat er gemeenten zijn die hun projectmanagementaanpak hebben aangepast. Bij nieuwe verwerkingen wordt de Privacy Officer nu automatisch bij het projectteam betrokken om mee te lopen bij de uitvoering hiervan. Op deze wijze wordt er ook geborgd dat nieuwe ontwikkelingen worden meegenomen binnen het register van verwerkingen. 
   
3. Laat verwerkingen opnieuw vaststellen
   Tot slot kun je het ook omdraaien en wel als volgt: je legt jaarlijks de verwerkingen van een bepaalde afdeling/lijnmanager voor aan de betreffende verantwoordelijke om deze te reviewen en zo een hernieuwde vaststelling van het register te laten plaatsvinden. Op deze manier wordt de lijnmanager jaarlijks geconfronteerd met de verwerkingen binnen zijn afdeling, en moet hij telkens opnieuw aangeven of dit klopt. 
   

Controle

De Functionaris Gegevensbescherming (FG) heeft een toezichthoudende rol als het gaat om het verwerkingsregister. Hij of zij moet erop toezien dat het verwerkingsregister wordt bijgehouden en dat dit op de juiste manier is geborgd. Dit kan bijvoorbeeld door steekproefsgewijs de verwerkingen in het register te beoordelen om te kijken of deze nog up-to-date zijn. Een andere manier is om alle wijzigingen die gedaan worden in het register bij te houden in een overzicht. Zo heb je heel inzichtelijk welke wijzigingen het afgelopen jaar hebben plaatsgevonden. Voor een gemeente geldt dat het register van verwerkingen vaak redelijk stabiel is. Maar wanneer er een heel jaar lang helemaal geen wijzigingen voorbij zijn gekomen, dan moet er wel een belletje gaan rinkelen bij de FG dat er waarschijnlijk zaken zijn die niet zijn meegenomen/aangepast en dat er actie moet worden ondernomen. 

Meer informatie?

Je ziet, er zijn verschillende manieren waarop je een verwerkingsregister kunt bijhouden binnen je gemeente. Heb jij nog aanvullende tips of ervaringen met het bijhouden van het verwerkingsregister, of hulp nodig bij het onderhouden van het verwerkingsregister binnen jouw gemeente? Laat ons dit dan even weten en neem contact met ons op.