Sinds de komst van de AVG moeten gemeenten alle processen waarin persoonsgegevens worden verwerkt vastleggen én bijhouden in een zogenoemd verwerkingsregister. In 2018 schreef ik al een blog over hoe je een verwerkingsregister opstelt. Maar hoe zorg je er nu voor dat het bijhouden van het verwerkingsregister ook op een juiste en consistente wijze gebeurt?
In het verwerkingsregister worden alle verwerkingen van persoonsgegevens die je als gemeente verwerkt vastgelegd. Zaken die worden vastgelegd zijn bijvoorbeeld het doel van de verwerkingsactiviteiten, een omschrijving van de categorieën van persoonsgegevens die je verwerkt, andere partijen waar de gegevens mee gedeeld worden en de bewaartermijn van de gegevens. Ook wordt er vastgelegd hoe de gegevens beveiligd zijn, dus welke technische en organisatorische maatregelen er worden genomen om de gegevens te beschermen (zoals encryptie, toegangscontrole, pseudonimisering etc.). Het verwerkingsregister is een levend document en moet regelmatig worden bijgewerkt, bijvoorbeeld wanneer een werkproces verandert, er een nieuw werkproces wordt gestart of wanneer een werkproces wordt beëindigd.
Veel gemeenten zijn bij de invoering van de AVG in 2018 projectmatig aan de slag gegaan met het opstellen en invullen van het verwerkingsregister, waarbij een grote inventarisatie is gedaan van alle verwerkingen die binnen de gemeente worden uitgevoerd. Nadat het register eenmaal was ingevuld en vastgesteld is het bijhouden ervan vaak belegd in de organisatie en is het project daarmee afgerond. Maar dan komt de vraag: wordt dit in de praktijk daadwerkelijk bijgehouden en zo ja, gebeurt dit dan ook op een juiste en consistente wijze? Indien dit niet juist of met een bepaalde regelmaat gebeurt, raakt het register al snel vervuilt. En wanneer je veel tijd en moeite in het opstellen van het register hebt gestoken, is het zonde als je dit jaarlijks weer helemaal opnieuw moet inventariseren (= (extra) administratieve rompslomp). Er zijn daarom een aantal manieren om te zorgen dat dit wel efficiënt gebeurt:
De Functionaris Gegevensbescherming (FG) heeft een toezichthoudende rol als het gaat om het verwerkingsregister. Hij of zij moet erop toezien dat het verwerkingsregister wordt bijgehouden en dat dit op de juiste manier is geborgd. Dit kan bijvoorbeeld door steekproefsgewijs de verwerkingen in het register te beoordelen om te kijken of deze nog up-to-date zijn. Een andere manier is om alle wijzigingen die gedaan worden in het register bij te houden in een overzicht. Zo heb je heel inzichtelijk welke wijzigingen het afgelopen jaar hebben plaatsgevonden. Voor een gemeente geldt dat het register van verwerkingen vaak redelijk stabiel is. Maar wanneer er een heel jaar lang helemaal geen wijzigingen voorbij zijn gekomen, dan moet er wel een belletje gaan rinkelen bij de FG dat er waarschijnlijk zaken zijn die niet zijn meegenomen/aangepast en dat er actie moet worden ondernomen.
Je ziet, er zijn verschillende manieren waarop je een verwerkingsregister kunt bijhouden binnen je gemeente. Heb jij nog aanvullende tips of ervaringen met het bijhouden van het verwerkingsregister, of hulp nodig bij het onderhouden van het verwerkingsregister binnen jouw gemeente? Laat ons dit dan even weten en neem contact met ons op.
Om een in-house cursus in te plannen, neem contact met ons op!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap