Een verwerkingsregister: een administratieve last? Haal er je voordeel uit!

Tijdens een privacy-inventarisatie kom je erachter welke persoonsgegevens jouw organisatie verwerkt, en waarom. Een overzicht van die informatie bewaar je in een verplicht verwerkingsregister. Zo’n verwerkingsregister is niet alleen maar verplichte kost. Het kan ook zeker in je voordeel gebruikt worden. Hoe? Dat lees je hier.

Doe een privacy-inventarisatie

Voor een goede privacy-administratie heb je een aantal gegevens nodig. In ieder administratief privacystuk begin je natuurlijk met de bedrijfsgegevens en de contactgegevens van de privacy-medewerkers, zoals een FG of DPO. Met die informatie weet je altijd op welke organisatie de inventarisatie betrekking heeft en bij wie je terecht kunt wanneer je eventueel vragen hebt.

Door middel van een privacy-inventarisatie neem je elke afdeling onder de loep. Je komt van elk onderdeel van je onderneming te weten welke persoonsgegevens van wie verwerkt worden en waarom. Ook wil je weten in welke systemen of software dit gebeurt. Je komt er gedurende de inventarisatie achter dat er nog meer partijen betrokken zijn bij het verwerken van de gegevens uit jouw onderneming. Bijvoorbeeld omdat je een cloud-applicatie gebruikt voor de HR registraties. Al die leveranciers zet je op een rijtje.

Maak een verwerkingsregister

Het verwerkingsregister is voor bijna alle ondernemingen verplicht om te hebben. Het is een administratief overzicht van de verwerkingen die in de onderneming plaatsvinden. Dat betekent dat inzichtelijk is welke persoonsgegevens worden verwerkt, van wie, waarom, waar deze bewaard staan etc. Met behulp van deze informatie heb je niet alleen overzicht, maar kun je ook gemakkelijker de vraag beantwoorden of de gegevens op een veilige manier worden verwerkt. En als er vragen zijn van een persoon over zijn gegevens, dan weet je bij welke leverancier je kunt aankloppen, om de vraag te laten beantwoorden.

Hoe je zo’n register opbouwt, maakt niets uit. Je mag een overzicht in Excel maken, in een word-bestand, maar ook in een mooi softwaresysteem met interactieve verwijzingen. Mits de verplichte onderdelen altijd terug te vinden zijn.

Voor veel ondernemingen is het verplicht om twee registers te hebben, of in het register twee onderwerpen te behandelen. Het ene register is bedoeld voor jouw rol als verwerkingsverantwoordelijke. Jij bepaalt dan de doeleinden, die je in het register beschrijft. Het andere overzicht geldt voor jouw rol als verwerker. Voor die verwerkingen heb je weinig tot geen invloed op het doel en de bewaartermijn. HR informatie van medewerkers verwerk je doorgaans onder eigen verantwoordelijkheid, maar lever je software of een dienst waarbij je persoonsgegevens van de klanten van je klant opslaat, dan ben je voor die gegevens verwerker.

Register voor de verwerkingsverantwoordelijke

Voor een aantal verwerkingen is jouw onderneming verwerkingsverantwoordelijke. Simpel gezegd betekent dit dat jij bepaalt wat je doet met persoonsgegevens en waarom. In dit gedeelte van jouw verwerkingsregister registreer je voor elk doeleinde de volgende informatie uit de privacy-inventarisatie:

• Het soort persoonsgegevens (NAW-gegevens, contactgegevens, geboortedatum etc.)
• Het soort betrokken (medewerkers, websitebezoekers of juist klanten)
• Waarom je die informatie verwerkt
• Hoelang je die informatie verwerkt
• Hoe je de persoonsgegevens beveiligt
• Op welke plekken de informatie is opgeslagen
• Of er leveranciers zijn ingeschakeld die helpen bij de verwerking
• Als opslag of leveranciers buiten de Europese Economische Ruimte is: in welk land dat dan is
• Of er waarborgen zijn om de gegevens buiten de EER te beschermen, zoals Binding Corporate Rules of een modelcontract
• De beveiligingsmaatregelen die de leverancier heeft genomen

Register voor de verwerker

Wanneer je in bepaalde processen persoonsgegevens verwerkt in opdracht van een ander, bepalen die anderen het doel. Jij bent dan verwerker. Deze verwerkingen komen in een ander (deel van het) verwerkingsregister terecht. Het doel van de verwerking hoef je bijvoorbeeld niet te registreren: daar heb je geen invloed op. Deze wordt immers bepaald door de opdrachtgever en staat vast in de overeenkomst die je hebt gesloten.

Wat hierin wel terug hoort te komen, zijn de naam en contactgegevens van elke opdrachtgever voor wie je verwerkt. Met daarbij de contactgegevens van diens FG of DPO. Voor elke opdrachtgever beschrijf je van welke diensten zij gebruik maken. Dit is namelijk de categorie verwerking die ze door jouw organisatie laten uitvoeren. Daar voeg je nog aan toe hoe je de gegevens beveiligt en of je de gegevens doorgeeft buiten de Europese Economische Ruimte.

Gebruik het verwerkingsregister

Het verwerkingsregister is verplicht. De onderdelen daarin ook. De vorm mag je zelf bepalen. Het lijkt op het eerste gezicht veel werk voor een simpele administratie. Maar het kan ook heel handig zijn. Hoe gebruik je het verwerkingsregister in je voordeel?

In het register kun je een extra rubriek opnemen met contractinformatie van jouw opdrachtgevers en leveranciers. Hierin beschrijf je of er überhaupt een verwerkersovereenkomst is gesloten en wanneer die verloopt. Ook beschrijf je in het kort de afspraken die zijn gemaakt over het melden van datalekken. Ook kun je opnemen of afspraken risicovol zijn. Die informatie kun je bij een onderhandeling weer gebruiken. En meer commercieel kun je beschrijven welke kosten je in rekening mag brengen als opdrachtgevers privacyvragen aan jou stellen. Bijvoorbeeld bij het helpen met een informatieverzoek. Door dit register goed bij te houden, heb je de gegevens van je klanten altijd bij de hand.

Verder legde ik natuurlijk ook al uit wat informeren over privacy is. Een privacyverklaring of privacy policy is de meestgebruikte methode om aan deze verplichting te voldoen. Het opstellen van de privacyverklaring kost relatief weinig tijd, als je de inhoud baseert op de registraties in het verwerkingsregister.