PrivacyBlox over de AVG [8/20]: het verwerkingsregister – vastleggen wat je doet met persoonsgegevens
12 februari 2018 - Arnoud Engelfriet
Het formeel vastleggen van verwerkingen is een van de weinige echt nieuwe eisen uit de AVG. Doel hiervan is vooral organisaties te dwingen goed na te denken over wat zij doen met persoonsgegevens en waarom. Het register vermeldt voor iedere verwerking wie deze uitvoert, op welke grondslag (zoals vorige week besproken) deze is gebaseerd, hoe deze is beveiligd en hoe lang gegevens worden bewaard.
Bij de term ‘verwerking’ denken veel mensen in eerste instantie aan grote, officiële administraties zoals de personeelsadministratie of salarisadministratie, of het Customer Relationship Management (CRM) systeem met klanten en andere relaties. Deze moeten inderdaad in het register zijn uitgewerkt, maar in het register horen ook de ‘kleinere’ verwerkingen zoals de maandelijkse nieuwsbrief, ritregistraties en cameratoezicht en zelfs dat formulier bij de receptie waar bezoekers zich op intekenen.
Wellicht heeft u gelezen dat de registerplicht niet geldt voor mkb-bedrijven (met minder dan 250 medewerkers). Dit klopt helaas niet helemaal; ook mkb-ers en zelfs zzp’ers moeten het verwerkingsregister gewoon hebben. De wet heeft weliswaar inderdaad een uitzondering voor deze groep, maar zet er meteen bij dat de uitzondering alleen geldt voor incidentele verwerkingen. Een personeelsadministratie of CRM-systeem is natuurlijk structureel en moet dus gewoon in het register opgenomen worden.
Beknopt en duidelijk moet in het verwerkingsregister worden opgenomen:
- Naam en contactgegevens van de verantwoordelijke entiteit; dit is niet alleen de bedrijfsnaam maar ook de concrete afdeling en de verantwoordelijke manager of business owner.
- De doeleinden, zoals “Salarisadministratie” of “Beveiliging van pand en goederen middels camera’s met geluidssensoren” met een omschrijving van de grondslag (toestemming, overeenkomst, et cetera).
- Een omschrijving van betrokkenen, zoals personeel, klanten, bezoekers of passanten.
- Een omschrijving van ontvangers, zoals de afdeling die het uitvoert, het beveiligingsbedrijf dat de camerabeelden uitkijkt en de politie in geval van strafbare feiten. Ontvangers in landen buiten de EU moeten apart worden genoemd.
- De bewaartermijnen, inclusief motivatie waarom deze termijnen en niet korter.
- Een beschrijving van de beveiligingsmaatregelen voor deze verwerking, u mag hierbij verwijzen naar het algemene beveiligingsbeleid.
- Een inschatting van het risico voor betrokkenen; als u meent dat dit hoger is dan normaal dan moet u een privacy impact assessment (PIA) uitvoeren (waarover in deel 16 van de serie meer).
Wanneer u deze verwerking voor een ander uitvoert (u bent dan verwerker), moet u nog steeds gewoon een register beheren met bovengenoemde informatie. Sterker nog, u moet dit dan per klant (per verantwoordelijke) apart voeren, zodat voor iedere klant duidelijk is wat u precies voor hem doet.
Doel van het register is u te dwingen concreet te worden over wat u doet, op welke manier en waarom. De toezichthouder kan op verzoek inzage in het register vorderen om u te controleren. De informatie uit het register zal daarnaast de basis vormen voor de privacyverklaringen die u aan mensen moet verstrekken. Inhoudelijk hebben deze namelijk grote overlap, maar de stijl en taal van de privacyverklaring is wel een heel stuk anders. Morgen leest u er alles over.
De makkelijkste manier om een verwerkingsregister op te zetten is de overzichtelijke tooling van Privacyblox.nl. Meer weten over de AVG? Woensdag 21 februari 2018 organiseren wij een gratis AVG webinar over de belangrijkste veranderingen die de AVG met zich meebrengt. Ook wordt tijdens deze webinar aan de hand van de software van PrivacyBlox getoond hoe de juiste tooling u en uw organisatie kan ondersteunen in het voldoen aan de AVG. Voor meer informatie en aanmelden: Webinar: update Algemene Verordening Gegevensbescherming (AVG).
De nieuwe Europese Algemene Verordening Gegevensbescherming is de opvolger van een Europese richtlijn uit 1995, die in Nederland omgezet werd in de Wet bescherming persoonsgegevens. Ook andere Europese landen hebben hun eigen privacywetgeving. Al deze wetgeving komt te vervallen; de AVG wordt vanaf 25 mei de énige privacywet, waar mensen zich direct op kunnen beroepen.
Inhoudelijk is de AVG vooral een kwestie van de touwtjes stevig aantrekken. De regels voor toestemming vragen voor verwerking van persoonsgegevens worden strenger, iedere verwerking moet op papier zijn uitgewerkt inclusief bewaartermijn en beveiligingskeuzes en er moet concreet beleid rond datalekken en security zijn. Dit alles op straffe van behoorlijk stevige boetes, waarover morgen meer.
Vaak wordt gezegd dat de AVG van alles en nog wat gaat verbieden. Niets is minder waar. De regels worden veel strenger, maar zijn vooral gericht op verantwoording afleggen. Toestemming vragen kan prima, maar kunt u bewijzen welke toestemming is gegeven, zijn mensen adequaat voorgelicht en kennen zij hun rechten? Gegevens tien jaar bewaren: oké, maar onderbouw eens waarom dat nodig is en niet een jaartje minder?
Een belangrijke vernieuwing zijn de verwerkingsregisters en datalekregisters. Deze registers maken deel uit van de verantwoordingsplicht die bedrijven en instellingen krijgen. In het verwerkingsregister moet ieder gebruik van persoonsgegevens zijn uitgewerkt (welke gegevens, waarom, hoe lang, hoe veilig), en het datalekregister moet inzicht bieden in dingen die misgingen (en hoe dat verbeterd gaat worden). Ook nieuw is de privacy impact assessment: een risicoanalyse van potentieel gevaarlijke verwerkingen, inclusief stappenplan om de risico’s te borgen.
Als ik de AVG in één zin moet samenvatten, dan is dat het een compliancewet is. Documenteer wat u doet, en leg daar verantwoording over af. Laat zien dat u netjes werkt en rechtvaardig waarom het gepast is wat u wilt doen. De vraag zou bij de AVG ook niet moeten zijn, mag dit of dat nog, maar hoe leg ik vast dat ik kan doen wat ik wil.
Wilt u concreet weten wat u precies moet doen onder de AVG? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt. Voor €39,95 krijgt u overzichtelijke adviezen en uitleg, met vele praktische voorbeelden, stappenplannen en standaardteksten. Een must voor iedere privacy professional.
Verder lezen
- 28-02-2018PrivacyBlox over de AVG [20/20...
- 27-02-2018PrivacyBlox over de AVG [19/20...
- 26-02-2018PrivacyBlox over de AVG [18/20...