In drie stappen naar een goed register van verwerkingen

Share
Share on linkedin
Share on facebook
Share on google
Share on twitter
register of processings

Een gedegen register van de gegevensverwerkingsactiviteiten die binnen een organisatie plaatsvinden, is de basis voor realisering van AVG-accountability. Creëren van een kwalitatief hoogwaardig verwerkingsregister vraagt om een gestructureerde aanpak waarin de doelstellingen SMART worden geformuleerd. Zonder die SMART-benadering wordt correcte uitvoering van het merendeel van de onder de AVG verplichte privacyactiviteiten een onmogelijke opgave. Het enige dat u dan bereikt, is dat u uzelf in zakelijk opzicht buitenspel zet.

Als in uw organisatie meer dan 250 medewerkers actief zijn, is onderhouden van een register van verwerkingsactiviteiten een categorische verplichting onder de AVG. Maar ook als u minder dan 250 mensen in dienst heeft, kan het zijn dat u verplicht bent een dergelijk register aan te leggen en bij te houden, bijvoorbeeld als een door uw organisatie uitgevoerde verwerking (1) hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, (2) niet incidenteel is, (3) bijzondere categorieën van persoonsgegevens betreft of (4) gericht is op persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.

Wat betekent dit in de praktijk?

Art. 30 van de AVG bepaalt dat u de verwerkingen die onder uw verantwoordelijkheid worden uitgevoerd, moet identificeren en kwalificeren. Art. 35 van de AVG schrijft voor dat u, alvorens tot feitelijke gegevensverwerking over te gaan, een risicobeoordeling uitvoert van de beoogde verwerkingen. Laten we eens kijken wat dat in de praktijk betekent en hoe u dat precies moet doen. Het proces bestaat uit drie stappen.

1. Identificatie

De eerste vraag die beantwoord moet worden, is wat de definitie is van een verwerking. Art. 4 van de AVG blijft hierover vrij vaag. In de praktijk worden in de registers van verwerkingen die ik tot nu toe onder ogen heb gehad, verschillende methoden gekozen voor identificatie van ‘verwerkingen’. Maar wat is een verwerking nu precies? Mijn antwoord, in praktische termen, is dit:

“Een verwerking is een door een organisatie uitgevoerd bedrijfsproces waarbij de input bestaat uit persoonsgegevens.”

Een bedrijfsproces? Waarom niet een applicatie (software of papier) of een bedrijfsactiviteit? vraagt u zich misschien af. Omdat de in een organisatie (lees: bij een verwerkingsverantwoordelijke) gebruikte applicaties makkelijk kunnen worden vervangen en de activiteiten kunnen worden aangepast. Dus dat beeld is aan verandering onderhevig. Terwijl de achterliggende bedrijfsprocessen naar alle waarschijnlijkheid onveranderd zullen blijven. Daarom ga ik uit van processen.

2. Kwalificatie

Kwalificeren van een verwerking is de belangrijkste van de drie stappen. Wat daar op de eerste plaats bij komt kijken, is de SMART-definitie van het doel of de doelen van een verwerking, in termen van: Specifiek – Meetbaar – Acceptabel – Realistisch – Tijdsgebonden.
Waarom SMART? Omdat definitie van het doel van verwerking het fundamentele uitgangspunt is voor kwalificatie van de verwerking in de zin van ‘wettelijke basis’, ‘categorie gebruikers’, ‘categorie persoonsgegevens’ en ‘bewaartermijn’. Een goede doeldefinitie betekent een exacter resultaat van die kwalificatie. En dat, op zijn beurt, betekent een waardevolle bijdrage aan realisering van AVG- accountability.

3. Voorlopige risicobeoordeling

Voor deze beoordeling zijn drie afzonderlijke controles nodig. De eerste, conform art. 35, lid 4 van de AVG, is een evaluatie van de verwerking in kwestie ten opzichte van een door de nationale toezichthoudende autoriteit ter beschikking gestelde en aan het in art. 63 AVG genoemde coherentiemechanisme getoetste lijst van verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is. Als blijkt dat de verwerking in de lijst wordt genoemd, moet een DPIA worden uitgevoerd. Indien niet, gaat u over tot de tweede controle, die inhoudt dat de verwerking wordt geanalyseerd tegen een lijst van negen criteria, ter beschikking gesteld door de Europese toezichthoudende autoriteit. Zijn twee of meer van deze hoog-risico indicatoren van toepassing op de verwerking, dan moet u een DPIA uitvoeren. Resteert de derde controle, waarbij antwoord moet worden gegeven op de vraag of de verwerking het exclusieve of gedeeltelijke onderwerp is geweest van een in het verleden uitgevoerde DPIA en of er sindsdien wijzigingen zijn aangebracht in de verwerking en de specifieke doelen van de verwerking, en/of in hoeverre er sindsdien nieuwe technologieën bij worden gebruikt. Is er geen sprake van verandering sinds een eerder uitgevoerde DPIA, dan kan worden besloten dat uitvoering van een DPIA niet noodzakelijk is.

Vier redenen om uw huiswerk te doen

De eerste reden is een mogelijk bezoek van de toezichthoudende autoriteit, nadat u een ernstig datalek heeft moeten rapporteren en vervolgens moet toegeven dat u uw huiswerk niet heeft gedaan en niet beschikt over een volledig of volwaardig register van verwerkingen. Er zijn echter minstens drie even dwingende redenen van bedrijfsmatige aard en die hebben te maken met uw klanten, uw investeerders en uw accountants. Redenen die elke organisatie zouden moeten overtuigen van het nut en de noodzaak van het creëren van een correct en compleet register van verwerkingsactiviteiten:

  • Klanten bij wie een AVG-audit vereist is als onderdeel van verkoopcontracten;
  • Financiers bij wie een AVG-audit vereist is voordat getekend kan worden voor lening of financiering;
  • Accountants die een AVG-audit eisen voordat ze de jaaropgaaf aftekenen.

Dus, neem de tijd, neem de moeite. U doet er niet alleen uzelf een plezier mee.

Marc Vrijhof

Marc Vrijhof

Abonneer u op privacyartikelen

U ontvangt alleen updates van onze blog
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.