Het verwerkingsregister als kloppend hart
Een actueel, volledig en kloppend verwerkingsregister vormt het ‘kloppend’ hart van de privacy compliance van een gemeente.[1] De meeste verwerkingsregisters zijn met de komst van de AVG in 2018 opgezet en staan sindsdien minder onder de aandacht. Daarom hierbij een aantal tips op een rijtje om optimaal van het verwerkingsregister gebruik te kunnen (blijven) maken:
- Creëer betrokkenheid
Om de (bestaande) processen te kunnen (blijven) beheren en de juiste informatie te kunnen ontvangen, is er betrokkenheid nodig om dit aan te leveren. Breng in kaart welke (bestaande) projecten, initiatieven en implementaties van wet- en regelgeving een ‘privacycomponent’ bevatten, als deze nog niet in beeld zijn. Processen zijn dynamisch en staan niet op zichzelf. Ga daarom periodiek in gesprek met jouw collega’s op de andere afdelingen om te bespreken wat zij doen met persoonsgegevens. En indien mogelijk: geef proceseigenaren de lead om relevante wijzigingen in het verwerkingsregister door te voeren.
- Betrek inkoop erbij
Als dat nog niet gebeurt, pas dan bij het inkopen van diensten ‘aan de voorkant’ privacy by design toe door privacy tot een vast onderdeel van aanbestedings- en inkooptrajecten te maken. Hierdoor kan voorafgaand aan een mogelijk nieuwe persoonsgegevensverwerking nagedacht worden over mogelijke risico’s en de te nemen maatregelen.
- Periodieke ‘controls’
Plan een periodiek controle moment in, om de informatie in het verwerkingsregister te controleren. Zet hiervoor een procedure op aan de hand van bestaande werkwijzen, bijvoorbeeld door het een onderdeel te laten zijn van een (interne) audit of plan-do-check-act cyclus (PDCA). Deze PDCA-cyclus zorgt dat de nog benodigde en al gezette inspanningen worden belegd en dat actualiteiten meegenomen worden in bestaande processen. Loop hierbij (bestaande) verwerkersovereenkomsten na en neem eventuele beoordelingen van leveranciers mee. Doe ook een beroep op de afdeling ICT en/of chief information security officer (CISO) door samen te kijken waar er mogelijk nog kan worden geoptimaliseerd qua beveiliging en/of processen.
Op deze manier is het verwerkingsregister niet alleen meer een maatregel om compliant te zijn, maar zal het bijdragen om bepaalde processen juist te optimaliseren en de zwakke plekken in de beveiliging te identificeren.
Vragen?
Heb je nog vragen naar aanleiding van deze blog of wil je meer weten? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Onze professionals ondersteunen organisaties met het opstellen, inrichten en actualiseren of reviewen van verwerkingsregisters. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.
[1] Gemeenten hebben op grond van artikel 30 AVG de verplichting een verwerkingsregister bij te houden. Onderdelen die daarin onder meer worden opgenomen zijn: wat de specifieke taak is voor een bepaalde verwerking, het doel, maar ook bijvoorbeeld de grondslagen en de naam van de functionaris gegevensbescherming (FG).