Overzicht
Actueel
28 May 2019
Verwerkingsregister: de AVG en de verantwoordingsplicht

Een jaar na de invoering van de Algemene verordening gegevensbescherming (op 25 mei 2018) zijn er nog altijd veel vragen over de praktische implicaties voor organisaties.

Vragen waar onder meer de onderwerpen uit het AVG 10 stappenplan van de Autoriteit Persoonsgegevens of de voorlichtingscampagne hulpbijprivacy.nl antwoord op kunnen geven, maar je vindt op onze websites ook diverse blogs met adviezen, zoals deze 5 tips richting 25 mei. In deze blog lichten we een van de onderwerpen uit waar voor veel organisaties nog onduidelijkheid over heerst: de verantwoordingsplicht, en specifiek het register van verwerkingsactiviteiten.

Verantwoordingsplicht

De voorloper van de AVG – de WBP of Wet bescherming persoonsgegevens – was opgesteld in een periode waarin het internet nog een kleinere rol speelde en het digitale tijdperk een minder stevige grip had op de maatschappij en de privacy van onze dagelijkse handel en wandel. Nieuwe omstandigheden vragen om een wet die daar beter op aansluit. In de AVG wordt daarom een grotere nadruk gelegd op documentatie die een bedrijf bij moeten houden.

De AVG beperkt zich dus niet tot regels over de verwerking van persoonsgegevens alleen: de nieuwe wetgeving voorziet ook in een verantwoordingsplicht: je moet met de juiste documentatie aan kunnen tonen dat er daadwerkelijk aan alle regels voldaan wordt. Dat wil zeggen dat er in kaart gebracht moet worden welke persoonsgegevens er verwerkt worden, met welk doel, waar ze vandaan komen en met wie ze worden gedeeld. Dat geldt ook voor andere bedrijven die jouw gegevens verwerken, zoals een salarisadministratiebedrijf of clouddienst.

Persoonsgegevens

Laten we even een stapje terug nemen om de begrippen persoonsgegevens en verwerking goed voor ogen te krijgen. Als we het hebben over privacy in de context van de AVG, dan spreken we namelijk vooral over persoonsgegevens en de bescherming daarvan. Wie heeft welke informatie over jou, en waarom? Persoonsgegevens zijn alle gegevens die informatie over een persoon kunnen verschaffen. Ten eerste zijn dat gegevens die algemene informatie bieden over een persoon, zoals naam, geboortedatum en geslacht. Ook gegevens die indirect iets over je zeggen, zijn persoonsgegevens. Denk aan je adres, maar ook aan je salaris of het IP-adres van je computer, dat tot jou te herleiden is.

De wet onderscheidt daarnaast bijzondere persoonsgegevens, omdat misbruik ervan privacy ernstig kan schaden – bijvoorbeeld door fraude met jouw identiteit. Onder bijzondere persoonsgegevens vallen onder meer je pasfoto, handtekening en BSN, maar ook gevoelige gegevens zoals je godsdienst of levensovertuiging, ras, politieke voorkeur, gezondheid en strafrechtelijk verleden.

Verwerking

Als we het hebben over verwerking, dan wordt daarmee iedere handeling bedoeld waarbij persoonsgegevens betrokken zijn. De AVG spreekt formeel over ‘een geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens’.

Verwerkingsregister persoonsgegevens

De documentatieplicht maakt inzichtelijk dat je een bijdrage levert aan de bescherming van het grondrecht van mensen op privacy. Zo moet je onder andere laten zien dat de verwerking van gegevens aan de belangrijkste beginselen van de AVG voldoet: rechtmatigheid, transparantie, doelbinding en juistheid.

Dat laatste brengt ons bij het verwerkingsregister. Het bijhouden van een register van verwerkingsactiviteiten, een overzicht van informatie over de persoonsgegevens die je verwerkt, is namelijk onderdeel van de verantwoordingsplicht. Bovendien kan het zijn dat je op dat register terug moet vallen als betrokken hun privacyrechten uitoefenen en opvragen over welke persoonsgegevens je beschikt, en met welk doel.

Het opstellen van een register van verwerkingsactiviteiten kan onder de AVG een verplichte maatregel zijn. Dat is dus niet altijd het geval. Organisaties met meer dan 250 medewerkers zijn het per definitie verplicht, maar voor kleinere bedrijven geldt het alleen als er persoonsgegevens verwerkt worden waarbij het volgende geldt:

  • de verwerking structureel is (niet incidenteel);
  • de verwerking kent een hoog risico voor de rechten en vrijheden van de personen;
  • de verwerking betreft bijzondere persoonsgegevens.

 

In de praktijk zijn verwerkingen zelden incidenteel, waardoor de verplichting ook voor veel kleinere organisaties zal gelden. Denk hier aan de persoonsgegevens van de eigen medewerkers, van klanten, toeleveranciers, patiënten, inwoners, et cetera. Daarnaast biedt het register hele handige – zo niet onmisbare – handvatten. Een transparante en duidelijke administratie van verwerkingen helpt immers om aan de verplichtingen van de AVG te voldoen.

Hoe houd je een verwerkingsregister bij?

In het register van verwerkingsactiviteiten worden alle verwerkingen van persoonlijke gegevens gedocumenteerd, van de structurele opslag van informatie over de eigen medewerkers tot de persoonsgegevens die verwerkt worden voor het versturen van de nieuwsbrief. Er wordt bijgehouden welke persoonsgegevens er verwerkt worden, met welk doel, waar ze vandaan komen, met wie ze worden gedeeld én: hoe ze worden beveiligd (een algemene beschrijving van de technische en organisatorische maatregelen die zijn genomen om in de juiste informatiebeveiliging te voorzien).

In de basis mag je zelf weten hoe je een register opstelt en welke software en administratieve hulpmiddelen je daarvoor gebruikt. Wel bepaalt de AVG in welke informatie je moet voorzien. Als een organisatie zelf het doel en de middelen voor de verwerking van de persoonsgegevens bepaalt, dan is die organisatie volgens de wetgeving de verwerkingsverantwoordelijke en geldt dat in ieder geval de volgende informatie opgenomen moet worden:

  • de naam en contactgegevens van:
    de organisatie of de vertegenwoordiger;
    eventuele organisaties met wie de doelen en middelen van de verwerking zijn bepaald;
    de FG of Functionaris voor de gegevensbescherming, indien die is aangesteld;
    eventuele andere internationale organisaties waar gegevens mee gedeeld worden;
  • de doelen van verwerking (bijvoorbeeld direct marketing of postbezorging);
  • de categorie van personen (klanten, medewerkers, patiënten, et cetera)
  • de categorie van persoonsgegevens (BSN, NAW, foto, video, et cetera);
  • de categorie van ontvangers (indien gegevens worden gedeeld);
  • eventuele internationale ontvangers buiten de EU;
  • de datum waarop de gegevens moeten worden verwijderd (indien bekend)
  • en tot slot de algemene beschrijving van de technische en organisatorische maatregelen genomen om de gegevens te beveiligen.

 

Indien de organisatie slechts de verwerker is in opdracht van een verwerkingsverantwoordelijke, zoals een online dienst voor gegevensopslag of een administratiekantoor, dan zijn de eisen beperkt tot:

  • de naam en contactgegevens van;
    de organisatie of de vertegenwoordiger;
    eventuele organisaties met wie de doelen en middelen van de verwerking zijn bepaald;
    de FG of Functionaris voor de gegevensbescherming, indien die is aangesteld;
    eventuele andere internationale organisaties waar gegevens mee gedeeld worden;
  • een algemene beschrijving van de technische en organisatorische maatregelen genomen om de gegevens te beveiligen.
Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.
Neem contact op
Is jouw organisatie AVG-proof?

Awareways heeft een breed programma met e-learnings gefocust op de gebruikers; de medewerkers die uiteindelijk de keuze maken wat ze wel of niet met privacygevoelige informatie doen. Binnen dat aanbod van online trainingen is er specifiek voor de privacywetgeving ook een AVG-module, volledig op maat in te richten, om ervoor te zorgen dat het kennisniveau van alle medewerkers op het juiste niveau ligt om aan de regels en verantwoordelijkheden te voldoen.

Daarnaast heeft Awareways ook de Mobile Escape Room: de eerste escape room in Nederland waar je de beginselen van security en privacy in een real life spel ervaart. Dé manier om de AVG op een educatieve en inspirerende wijze op te pakken. De mobiele oplossing is bovendien ideaal voor trainingen op kantoor. Kijk voor meer informatie op awareways.com/escaperoom of neem contact op met Arthur Timmerman via arthur@awareways.com.

Kijk ook eens naar

Praktijkvoorbeelden
Een overzicht van onze praktijkvoorbeelden.
Security Awareness Engine
De spil in jouw security awareness programma.
Nulmeting
Awareness in cijfers het kan echt.