AVG verwerkingsregister

AVG en verantwoordingsplicht: hoe maak je een verwerkingsregister?

- 15 May 2018

De Algemene verordening gegevensbescherming (AVG) wordt op 25 mei aanstaande officieel ingevoerd, maar er zijn nog altijd veel vragen over de praktische implicaties voor organisaties. Vragen waar onder meer de onderwerpen uit het AVG 10 stappenplan van de Autoriteit Persoonsgegevens of de voorlichtingscampagne hulpbijprivacy.nl antwoord op kunnen geven.

In dit artikel besteden we aandacht aan een van de nieuwe verantwoordelijkheden die de AVG met zich meebrengt: de verantwoordingsplicht en het aan te leggen register van verwerkingsactiviteiten.

Verantwoordingsplicht

De huidige wetgeving – de WBP of Wet bescherming persoonsgegevens – is opgesteld in een periode waarin het internet nog een kleinere rol speelde en het digitale tijdperk een minder stevige grip had op de maatschappij en de privacy van onze dagelijkse handel en wandel. Nieuwe omstandigheden vragen om een wet die daar beter op aansluit. In de AVG wordt daarom een grotere nadruk gelegd op documentatie die een bedrijf bij moeten houden. De AVG beperkt zich dus niet tot regels over de verwerking van persoonsgegevens alleen: de nieuwe wetgeving voorziet ook in een verantwoordingsplicht: je moet met de juiste documentatie aan kunnen tonen dat er daadwerkelijk aan alle regels voldaan wordt.

Dat wil zeggen dat er in kaart gebracht moet worden welke persoonsgegevens er verwerkt worden, met welk doel, waar ze vandaan komen en met wie ze worden gedeeld. Dat geldt ook voor andere bedrijven die jouw gegevens verwerken, zoals een salarisadministratiebedrijf of clouddienst.

Persoonsgegevens

Laten we even een stapje terug nemen om de begrippen persoonsgegevens en verwerking goed voor ogen te krijgen. Als we het hebben over privacy in de context van de AVG, dan spreken we namelijk vooral over persoonsgegevens en de bescherming daarvan. Wie heeft welke informatie over jou, en waarom? Persoonsgegevens zijn alle gegevens die informatie over een persoon kunnen verschaffen. Ten eerste zijn dat gegevens die algemene informatie bieden over een persoon, zoals naam, geboortedatum en geslacht. Ook gegevens die indirect iets over je zeggen, zijn persoonsgegevens. Denk aan je adres, maar ook aan je salaris of het IP-adres van je computer, dat tot jou te herleiden is.

De wet onderscheidt daarnaast bijzondere persoonsgegevens, omdat misbruik ervan privacy ernstig kan schaden – bijvoorbeeld door fraude met jouw identiteit. Onder bijzondere persoonsgegevens vallen onder meer je pasfoto, handtekening en BSN, maar ook gevoelige gegevens zoals je godsdienst of levensovertuiging, ras, politieke voorkeur, gezondheid en strafrechtelijk verleden.

Verwerking

Als we het hebben over verwerking, dan wordt daarmee iedere handeling bedoeld waarbij persoonsgegevens betrokken zijn. De AVG spreekt formeel over ‘een geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens’.

Verwerkingsregister persoonsgegevens

De documentatieplicht maakt inzichtelijk dat je een bijdrage levert aan de bescherming van het grondrecht van mensen op privacy. Zo moet je onder andere laten zien dat de verwerking van gegevens aan de belangrijkste beginselen van de AVG voldoet: rechtmatigheid, transparantie, doelbinding en juistheid. Dat laatste brengt ons bij het verwerkingsregister. Het bijhouden van een register van verwerkingsactiviteiten, een overzicht van informatie over de persoonsgegevens die je verwerkt, is namelijk onderdeel van de verantwoordingsplicht. Bovendien kan het zijn dat je op dat register terug moet vallen als betrokken hun privacyrechten uitoefenen en opvragen over welke persoonsgegevens je beschikt, en met welk doel.

Het opstellen van een register van verwerkingsactiviteiten kan onder de AVG een verplichte maatregel zijn. Dat is dus niet altijd het geval. Organisaties met meer dan 250 medewerkers zijn het per definitie verplicht, maar voor kleinere bedrijven geldt het alleen als er persoonsgegevens verwerkt worden waarbij het volgende geldt:

  • de verwerking structureel is (niet incidenteel);
  • de verwerking kent een hoog risico voor de rechten en vrijheden van de personen;
  • de verwerking betreft bijzondere persoonsgegevens.

 

In de praktijk zijn verwerkingen zelden incidenteel, waardoor de verplichting ook voor veel kleinere organisaties zal gelden. Denk hier aan de persoonsgegevens van de eigen medewerkers, van klanten, toeleveranciers, patiënten, inwoners, et cetera. Daarnaast biedt het register hele handige – zo niet onmisbare – handvatten. Een transparante en duidelijke administratie helpt immers om aan de verplichtingen van de AVG te voldoen.

Hoe houd je een verwerkingsregister bij?

In het register van verwerkingsactiviteiten worden alle verwerkingen van persoonlijke gegevens gedocumenteerd, van de structurele opslag van informatie over de eigen medewerkers tot de persoonsgegevens die verwerkt worden voor het versturen van de nieuwsbrief. Er wordt bijgehouden welke persoonsgegevens er verwerkt worden, met welk doel, waar ze vandaan komen, met wie ze worden gedeeld én: hoe ze worden beveiligd (een algemene beschrijving van de technische en organisatorische maatregelen die zijn genomen om in de juiste informatiebeveiliging te voorzien).

In de basis mag je zelf weten hoe je een register opstelt en welke software en administratieve hulpmiddelen je daarvoor gebruikt. Wel bepaalt de AVG in welke informatie je moet voorzien. Als een organisatie zelf het doel en de middelen voor de verwerking van de persoonsgegevens bepaalt, dan is die organisatie volgens de wetgeving de verwerkingsverantwoordelijke en geldt dat in ieder geval de volgende informatie opgenomen moet worden:

  • de naam en contactgegevens van: de organisatie of de vertegenwoordiger; eventuele organisaties met wie de doelen en middelen van de verwerking zijn bepaald; de FG of Functionaris voor de gegevensbescherming, indien die is aangesteld; eventuele andere internationale organisaties waar gegevens mee gedeeld worden;
  • de doelen van verwerking (bijvoorbeeld direct marketing of postbezorging);
  • de categorie van personen (klanten, medewerkers, patiënten, et cetera)
  • de categorie van persoonsgegevens (BSN, NAW, foto, video, et cetera);
  • de categorie van ontvangers (indien gegevens worden gedeeld);
  • eventuele internationale ontvangers buiten de EU;
  • de datum waarop de gegevens moeten worden verwijderd (indien bekend)
  • en tot slot de algemene beschrijving van de technische en organisatorische maatregelen genomen om de gegevens te beveiligen.

 

Indien de organisatie slechts de verwerker is in opdracht van een verwerkingsverantwoordelijke, zoals een online dienst voor gegevensopslag of een administratiekantoor, dan zijn de eisen beperkt tot:

  • de naam en contactgegevens van; de organisatie of de vertegenwoordiger; eventuele organisaties met wie de doelen en middelen van de verwerking zijn bepaald; de FG of Functionaris voor de gegevensbescherming, indien die is aangesteld; eventuele andere internationale organisaties waar gegevens mee gedeeld worden;
  • een algemene beschrijving van de technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligen.

 

 

Lees ook: Jaarverslag Autoriteit Persoonsgegevens - het jaar van Privacy