Skip to main content

Een verwerkingsregister onderhouden, hoe?

| Erna Havinga | ,

In het kader van de aankomende AVG moet uw gemeente inventariseren welke verwerkingen van persoonsgegevens binnen de gemeente plaatsvinden. In mijn eerste blog ‘Een verwerkingsregister invullen, hoe doe je dat?’ ben ik ingegaan op hoe je een verwerkingsregister kunt invullen, en wat hier in moet staan. Nadat je weet hoe je het register kunt invullen is de volgende vraag vanzelfsprekend hoe je het register moet onderhouden. Wie is hiervoor verantwoordelijk en hoe borg je dat dit daadwerkelijk wordt gedaan? In deze tweede blog zal ik bespreken hoe je dit proces kunt inrichten binnen jouw gemeente.

Wie is er verantwoordelijk?

Stap 1 is afgevinkt; je hebt je als gemeente voorbereid en een proces ingericht om het verwerkingsregister in te vullen. En dan? De volgende stap is het onderhouden van het register. Wie gaat dit doen en hoe richt je dit in? Stap 2 is dus het aanwijzen van een verantwoordelijke voor het verwerkingsregister. Vaak wordt gedacht dat de Functionaris Gegevensbescherming (FG) hier de aangewezen persoon voor is, die moet immers toezien dat er een verwerkingsregister is. Niets is minder waar.

Het klopt dat de FG moet toezien dat er een verwerkingsregister is, maar de FG is vaak niet de persoon die dit operationeel onderhoudt. Simpelweg omdat een wijziging in het proces of implementatie van een nieuwe applicatie niet altijd zichtbaar is voor de FG. In dit geval moet je ook de toezichthoudende rol en de uitvoerende rol uit elkaar halen (slager die zijn eigen vlees keurt). Maar wie is dan wel de aangewezen persoon?

Toezichthoudende rol versus uitvoerende rol

Naast de FG, die eindverantwoordelijke is op algemeen niveau (= toezichthoudende rol), moet er daarnaast ook één verantwoordelijke per afdeling binnen de gemeente aangewezen worden die operationeel verantwoordelijk is (= uitvoerende rol). Deze persoon krijgt de verantwoordelijkheid om voor zijn of haar onderdeel of afdeling binnen de gemeente het verwerkingsregister bij te houden.

Hierbij onderscheiden we twee rollen: wanneer er gebruik wordt gemaakt van een tool, kan het zijn dat deze, i.v.m. de licentiekosten, voor een selecte groep medewerkers beschikbaar is. Dit zijn vaak de personen die verantwoordelijk zijn voor het administratief onderhouden en bijhouden van het register. Maar let op, zij zijn niet automatisch ook de eindverantwoordelijke voor het onderhouden van het register.

Hiernaast is het dus van belang om een medewerker per afdeling aan te wijzen die eindverantwoordelijk is. In de praktijk zie je dat dit vaak de applicatiebeheerder, functioneel beheerder of business analist is, die een bepaalde afdeling onder zijn of haar hoede heeft. Het kan zijn dat dit al de persoon is die ook toegang heeft tot de tool maar dat hoeft niet. Indien zij geen toegang hebben tot de tool is dit geen probleem. Zij kunnen in dat geval de wijzigingen doorgeven aan de persoon die administratief het register onderhoudt.

Onderhoudsprocessen

Om te zorgen dat het bijhouden van het verwerkingsregister geen aparte (extra) administratieve rompslomp wordt, is het aan te raden om het onderhoud te integreren in al bestaande processen. Zo hebben sommige gemeenten bijvoorbeeld een Project Management Office (PMO) afdeling. Hier worden alle nieuwe projecten die binnen de gemeente worden uitgevoerd, geregistreerd en gemonitord.

Wanneer er een nieuw project of grote wijziging wordt ingediend die projectmatig wordt aangevlogen, is dit de ideale plaats om een Privacy Impact Assessment (PIA) aan te vragen. En dat is niet alles, naast het aanvragen van een PIA, kun je hier als randvoorwaarde binnen alle projecten meenemen dat het verwerkingsregister (indien nodig) moet worden bijgewerkt als standaard activiteit. Aangezien het bijhouden van de gegevensverwerkingen wordt gecombineerd met een bestaand proces, zoals het uitvoeren van de PIA, voorkom je dat je afdelingen op verschillende momenten lastigvalt.

Conclusie

Om er voor te zorgen dat het register over een jaar ook echt actueel is, moeten er controle mechanismen geïmplementeerd zijn om te borgen dat het register wordt bijgehouden. Dit is het moment waar de FG wel om de hoek komt kijken, want hij of zij is degene die de controle doet en moet toezien op de effectiviteit van het controlemechanisme.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…