Een verwerkingsregister invullen, hoe pak je dat aan?

Voorheen had je als gemeente een (algemene) meldplicht vanuit de Wet bescherming persoonsgegevens (Wbp), als het gaat om de verwerking van persoonsgegevens. Zo moest je voorafgaand aan een nieuwe verwerking een melding te maken bij de Autoriteit Persoonsgegevens (AP), nu niet meer. Met de komst van de AVG op 25 mei aanstaande gaat dit veranderen en ben je als gemeente verplicht om al je verwerkingen van persoonsgegevens bij te houden in een eigen register, een zogeheten verwerkingsregister. Hoe kan je een verwerkingsregister nu invullen?

Verantwoordingsplicht

In een register verwerkingen worden alle verwerkingen van persoonsgegevens die je als gemeente verwerkt vastgelegd. Artikel 30 van de AVG geeft een beschrijving waar dit register uit moet bestaan. Denk bijvoorbeeld aan zaken als: het doel van de verwerkingsactiviteiten, een omschrijving van de categorieën van persoonsgegevens die je verwerkt, de categorieën ontvangers van de persoonsgegevens, de bewaartermijn van de gegevens en de technische en organisatorische maatregelen om de gegevens te beschermen. Uiteraard belangrijk én noodzakelijk, want met het register kun je als gemeente voldoen aan de nieuwe verantwoordingsplicht die je straks hebt vanuit de AVG en het geeft de mogelijkheid om transparant te zijn richting de burger. Okee…, zul je misschien denken. Maar dan volgt de uitvoering en die is in praktijk vaak lastiger. Zeker voor grote gemeenten. Want hoe pak je dit aan? Hoe ga je als gemeente het register vullen? En belangrijker nog, bijhouden? Vanuit IB&P hebben we inmiddels diverse ervaringen met het invullen van het verwerkingsregister.

Aan de slag!

Het is belangrijk om je als gemeente af te vragen hoe je dit gaat organiseren. Om je hierbij een handje te helpen zijn er diverse handige tools beschikbaar. Maar hoe het register daadwerkelijk gevuld gaat krijgen binnen je gemeente, worden niet echt handvatten gegeven. Daarom heb ik onderstaand een aantal stappen voor je hoe je dit aan kunt aanpakken:

  • Stap 1: Zorg voor betrokkenheid

Organiseer een workshopsessie voor alle managers/leidinggevenden, waarbij wordt ingegaan op het wat, waarom en hoe van het verwerkingsregister. Kortom, wat is het verwerkingsregister?, waarom hebben we deze verplichting als gemeente vanuit de AVG? en hoe gaan we het register vullen en bijhouden? Tijdens deze sessie is het belangrijk dat helder wordt wat de rol en verantwoordelijkheden zijn van de proceseigenaren c.q. functioneel beheerders in dit proces. Kortom, er dient betrokkenheid vanuit het management te zijn, zodat deze medewerkers ook tijd krijgen om dit (erbij) te doen, als onderdeel van hun functie.

  • Stap 2: Train de betrokkenen

Organiseer een vervolgsessie voor de proceseigenaren c.q. functioneel beheerders en in sommige gevallen de applicatiebeheerders (dit is afhankelijk van hoe het proces binnen jouw gemeente georganiseerd is). Tijdens deze sessie wordt inhoudelijk ingegaan op alle onderdelen van het verwerkingsregister en krijgen de deelnemers een demonstratie. Zo wordt voor iedereen helder, wat, waar en hoe gedaan moet worden. Eindig de bijeenkomst met het gezamenlijk oefenen van het invullen van een verwerking in het register, waarbij de deelnemers inhoudelijk ondersteund worden en vragen kunnen stellen.

  • Stap 3: Begeleid de medewerkers die het register moeten invullen

Organiseer vervolgens gezamenlijke invoersessies, waarbij onder begeleiding het verwerkingsregister wordt ingevuld. Deze sessies zijn verplicht voor alle proceseigenaren c.q. functioneel beheerders of applicatiebeheerders (afhankelijk van wie verantwoordelijk wordt voor het operationeel bijhouden van het register). Uiteraard mogen zij ook buiten deze sessies om het register invoeren, maar 1x per week is het voor 1,5 uur verplicht om bij de invoersessie aanwezig te zijn voor ondersteuning en er voor te zorgen dat er voortgang wordt gemaakt met het invoeren van het register. Op deze manier kun je de voortgang bewaken en mogelijke problemen snel bespreken.

  • Stap 4: Beoordeel het register

Nadat het verwerkingsregister is ingevuld, vindt er een interne validatie plaats. Hierbij moeten de afdelingsmanagers hun onderdeel van het verwerkingsregister waar zij verantwoordelijk voor zijn, inhoudelijk beoordelen. De privacy officer beoordeelt vervolgens het register vakinhoudelijk, waarbij gelet wordt op zaken als: het doel, de bewaartermijnen et cetera. Voor de verificatie van de grondslag wordt aangeraden om ook de juristen te betrekken, vooral omdat het merendeel van deze grondslag te maken zal hebben met het uitvoeren van de publieke taak, waarbij beschreven moet worden vanuit welke wetgeving/grondslag dit blijkt.

  • Stap 5: Stel het register vast

Tot slot dient het verwerkingsregister ter vaststelling voorgelegd te worden aan het management. Hierna heeft het register een formele status en dient het via wijzigingsbeheerproces (die wordt ingericht om wijzigingen binnen verwerkingen via een formele weg te laten verlopen) te worden onderhouden. Daarbij zou tooling ook weer een handige ondersteuning kunnen bieden.

Aan de slag!

Bovenstaande aanpak is wellicht niet (in zijn geheel) op elke gemeente toepasbaar. Elke gemeente is immers weer anders georganiseerd. Belangrijk is dat je je tijdig voorbereid en een proces inricht om het verwerkingsregister te vullen en te onderhouden. Want nadat je weet hoe je het register moet invullen is de volgende stap hoe je het register kunt onderhouden. In mijn volgende blog zal ik daarom ingaan op hoe je dat proces kunt inrichten.

Is jouw gemeente al klaar met het verwerkingsregister? Hoe ver ben jij?

Dataclassificatie versus informatiebeveiliging
Van BIR2017 naar BIO

Copyright © 2014-2019 IB&P B.V. - Informatiebeveiliging Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring.Ook handig: de sitemap