Print:

5 Tips! Zo registreer je gegevensverwerkingen

Ferry Waterkamp, Journalist

LinkedIn profiel

Het ‘register van de verwerkingsactiviteiten’ is een even belangrijk als gevreesd onderdeel van de AVG. Het bijhouden van een register helpt organisaties de naleving van de AVG aantoonbaar te maken richting de toezichthouder, maar kan ook veel geld en tijd kosten. Deze tips helpen bij het opstellen en bijhouden van een verwerkingsregister.

Onder de Algemene Verordening Gegevensbescherming (AVG) is de kans groot dat een organisatie een register moet bijhouden van de gegevensverwerkingen. In dit overzicht staat onder andere welke persoonsgegevens worden verwerkt, van wie en met welk doel, waar deze gegevens vandaan komen en met wie ze worden gedeeld.

Artikel 30 van de AVG legt deze verplichting op aan alle bedrijven met meer dan 250 medewerkers. Kleinere bedrijven die bijvoorbeeld bijzondere persoonsgegevens verwerken of op grote schaal persoonsgegevens verzamelen, krijgen er echter ook mee te maken.

Bedrijven die geen registerplicht hebben, doen er verstandig aan om toch een overzicht van de verwerkingen bij te houden. “Het zorgt ervoor dat je in control bent over de gegevensstromen”, stelt Jan-Paul Verboom, Legal Counsel Privacy bij FrieslandCampina.

Gegevensstromen compliant maken

Verboom is binnen het ‘complianceteam’ van de zuivelcoöperatie belast met ‘privacy en dataprotectie’. In die rol draagt hij ook een verantwoordelijkheid voor het ‘compliant maken van de gegevensstromen’ en voor het vastleggen van de gegevensverwerkingen.

Dat laatste zal bij een internationaal opererende onderneming wel een complexe en tijdrovende uitdaging zijn. “Ja en nee”, reageert Verboom. “Het vastleggen van de verwerkingen hoeft niet zo ingewikkeld te zijn. De grootste uitdaging is het up-to-date houden van het register.”

Deze tips kunnen helpen bij het in kaart brengen van de verwerkingen:

(1) Zorg ervoor dat rollen en verantwoordelijkheden helder zijn

“Dit is een uitdaging voor elke grote onderneming die in meerdere landen en in verschillende disciplines actief is”, stelt Verboom. “Bij FrieslandCampina hebben we bijvoorbeeld te maken met de gegevens van bijna 22.000 medewerkers en met de data van de boeren die ons de melk leveren. Ook verzamelen we bijvoorbeeld via loyaliteitsprogramma’s data van consumenten. Dan moet je heel goed vastleggen wie bijvoorbeeld verantwoordelijk zijn voor het bijhouden van het register.”

(2) Start in een vroeg stadium met het uitvoeren van Privacy Impact Assessments

“Bij FrieslandCampina zijn we gestart met het toetsen van verwerkingen en data uit betrokken systemen aan de wettelijke eisen. Tijdens assessments beantwoord je dan vragen als ‘hoe lang bewaar je de data?’, ‘delen we de data met derde partijen?’, ‘wie heeft er toegang tot de data?’ en ‘hoe is de toegang geregeld?’. Die vragen leveren allemaal ‘artikel 30-informatie’ op die je ook nodig hebt voor het verwerkingsregister. Door PIA’s uit te voeren op verwerkingen, leg je dus een goede basis voor het verwerkingsregister.

(3) Intensiveer de training en verhoog de awareness

Op het moment dat er een website live gaat of ergens een nieuw CRM-systeem in gebruik wordt genomen, moet er volgens Verboom ‘ergens in de organisatie’ een belletje gaan rinkelen. Nieuwe systemen leiden ook weer tot nieuwe verwerkingen of aanpassing van bestaande verwerkingen die in het register terecht moeten komen. “De medewerkers binnen de verschillende disciplines moet je trainen op het gebied van privacy en dataprotectie.

(4) Maak gebruik van tooling

Zeker voor grote organisaties of organisaties met een diffuus systeemlandschap kan tooling waardevol zijn. “Wij maken zelf gebruik van tooling waarmee we vragenlijsten uitzetten in de business om op die manier assessments uit te voeren op de systemen”, legt Verboom uit. “Daarmee krijgen we inzicht in een groot aantal verwerkingen en in de systemen die we daarvoor gebruiken.”

“Een tool maakt het bovendien eenvoudiger om bevindingen te rapporteren naar betrokkenen en naar de stakeholders binnen de organisatie. Ook zie je de trends sneller. Misschien blijkt dat je data langer bewaart dan nodig is. Dan kun je daar in algemene zin iets aan doen, in plaats van per applicatie of afzonderlijke verwerking.

(5) Zorg voor een geïntegreerde aanpak

Het advies van Verboom is duidelijk: “Voorkom dat je afdelingen op verschillende momenten lastigvalt. Zorg er bijvoorbeeld voor dat het inventariseren van de gegevensverwerkingen wordt gecombineerd met een toets van de security en met het uitvoeren van de PIA.”

“Ook is het van zeer groot belang om de samenwerking te zoeken met ICT en informatiebeveiliging”, benadrukt Verboom. “Hier is vanuit een andere invalshoek zicht op de verwerkingen en de wijzigingen daarin.”

Op zoek naar een AVG training?

Laat uw e-mail achter en ontvang de gids direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten