verwerkingsregister
27.03.2018

6 tips voor het opzetten en beheren van het verwerkingsregister

Volgens de Algemene verordening gegevensbescherming (AVG) moet vrijwel iedere organisatie een verwerkingsregister opstellen en beheren. Maar hoe wordt zo’n register opgesteld? Maakt u daar één persoon verantwoordelijk voor of alle (afdelings)managers binnen uw organisatie. En hoe houdt u het register vervolgens bij? Wij bieden u 6 handige tips!

“ Wanneer we aan de slag gaan met de AVG is het belangrijk te beseffen dat het bestuur of directie verantwoordelijk is voor de aanpak en niet de Functionaris Gegevensbescherming. De FG heeft een adviserende en controlerende rol.”

De verantwoordelijke moet in het verwerkingsregister het volgende registreren:

  • de naam en contactgegevens van de verantwoordelijke;
  • de naam en contactgegevens van de Functionaris Gegevensbescherming (FG);
  • een beknopte beschrijving van de beveiligingsmaatregelen en per verwerkingsactiviteit;
  • het doel van de verwerking;
  • een beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
  • de (voorgenomen) categorieën ontvangers;
  • de (voorgenomen) bewaartermijnen;
  • wanneer de persoonsgegevens zouden worden verstrekt aan een ander land of een internationale organisatie, moet dit ook worden vermeld.

Ook interessant: Timeline 2018 – Alle Privacy, Security & Auditing deadlines »

Dé tips voor het opzetten van het verwerkingsregister

1) Vorm een team

Om snel een compleet verwerkingsregister op te ze zetten, is het goed om in een team te werken. Dat één iemand alles van elke discipline weet, is een utopie. Verzamel daarom verantwoordelijken die kennis van zaken hebben binnen hun eigen vakgebied. Binnen dit team kan van tevoren overlegd worden over de te zetten stappen, het te voeren beleid en de verdeling van de verantwoordelijkheden. Met het organiseren van groepssessies wordt iedereen aangehaakt en kan iedereen input geven. Tijdens het proces kan het team de gang van zaken met elkaar bespreken en hiernaar handelen.
Omdat bestuur of directie uiteindelijk verantwoordelijk is voor het register, is het goed wanneer de verantwoordelijke de acties uitzet en de FG direct advies kan geven.

2) Start op procesniveau

Wat is een verwerking? Voor je het weet verzand je in tal van detailprocessen. Het is onmogelijk om alle details binnen een wet direct te tackelen in het verwerkingsregister. Laat de details daarom even voor wat ze zijn en kijk naar het hoofddoel van de wet. Voor de wet MO (Maatschappelijke Ondersteuning) bijvoorbeeld, is het hoofddoel dat mensen langer thuis kunnen wonen en kunnen participeren in de samenleving. Kijk op grond hiervan naar de gegevens die verzameld worden, de grondslag en doelbinding. Op dit niveau komt u sneller tot resultaten. Later kunt u altijd nog de verdiepingsslag maken. Gebruik in deze fase ook bestaande inventarisaties zoals overzichten van applicaties of een contractenregister. Deze kunnen u helpen bij het beoordelen op volledigheid en het register wordt sneller gevuld.

Dé tips voor het beheren van het verwerkingsregister

Als het verwerkingsregister eenmaal is opgesteld, is het zaak om niet achterover te leunen. De organisatie verandert dus het register verandert mee. Met deze tips gaat dat zeker lukken.

3) Organiseer periodieke bijeenkomsten

Het beheren van het verwerkingsregister is een proces. Bij dit proces zijn medewerkers uit verschillende vakgebieden betrokken. Denk hierbij aan de informatiemanager, ICT beleidsmedewerkers, vakspecialisten en leidinggevenden. De beste manier om in contact te blijven met elkaar is door periodieke bijeenkomsten. Zo kan iedereen een statusupdate geven van veranderingen in de eigen werkzaamheden, beoordelen of deze effect hebben op andere processen en problemen voorleggen. Collega’s blijven betrokken en het team blijft een samenwerkingsorgaan.

4) Zorg voor tijdige signalen

Organisaties hebben de plicht om privacyrisico’s binnen een beleid tijdig te signaleren. Voor advies moet de Functionaris Gegevensbescherming benaderd worden.  Om privacyrisico’s snel te ontdekken is de tip te zorgen voor tussentijdse evaluatie. Speel in op de actualiteit en beoordeel het effect van wetswijzigingen op het beleid. Communiceer eventuele problemen tijdig zodat hier direct op geanticipeerd kan worden. Privacy en informatiebeveiliging zijn kwaliteitsaspecten. Zie dit niet als losse aspecten, maar neem dit mee in de dagelijkse routine.

5) Laat het register jaarlijks controleren

Het is onmogelijk om het register op orde te houden zonder periodieke afstemming. Zorg ervoor dat de Functionaris voor Gegevensbescherming, de leidinggevende of de andere procesverantwoordelijke jaarlijks controleert of het verwerkingsregister nog actueel is. Zijn er veranderingen? Hoe kunnen we deze doorvoeren? Misschien is het geheel nog helemaal up-to-date. Dat kan natuurlijk ook.

6) Creëer overzichtelijke output

Een overzicht is het startpunt voor sturing, anders blijft het een platte lijst. Een goede start is het maken van een register met Excel. Bij complexere verwerkingen of wanneer een volgende stap in beheer gewenst is, schiet Excel te kort. Overzicht en efficiency zijn dan een flinke uitdaging. Daarom ontwikkelde SafeHarbour IC Control. De slimme GRC-tool die helpt bij het registreren en bewaken van normen, verwerkingen en de daaraan gerelateerde informatie. Het maakt via dashboards en overzichten inzichtelijk wat de status is op bepaalde thema’s en welke normen nog aandacht behoeven. Daarnaast geeft het inzicht in risico’s, uit te voeren taken en signaleringen. Die Excel sheets kunnen nu dus wel de deur uit!

Meer over IC Control »

Categorie: Kennis

Nieuwsbrief

Up-to-date zijn is het begin
van informatiebeveiliging

Timeline voor gemeenten in 2018

Timeline-ENSIA-2018Geen deadline missen dit jaar? Download alle deadlines voor gemeenten in 2018

Download nu »