Van 31 mei tot en met 12 juni publiceren we elke (werk)dag een artikel over de implementatie van de AVG. Geschreven door Marius van Rijswijk, senior consultant bij Verdonck, Klooster & Associates (VKA). Marius spreekt 22 november op het Seminar ‘AVG-Proof na 1,5 jaar voor kinderopvang, basisscholen en kindcentra’.
Artikel 2: Weet u welke gegevens u verwerkt en mag u die gegevens eigenlijk wel hebben?
Uw organisatie voert verschillende types van gegevensverwerkingen uit. Er is een grote kans dat uw gegevens over medewerkers in een personeelsdossier bewaard, u een relatiebeheer systeem onderhoud en dat u gegevens over uw eigen medewerkers deelt met een extern (loon)administratiekantoor. Maar denk ook aan gegevens van klanten voor een marketingcampagne. Het is belangrijk om inzicht te hebben in deze verschillende verwerkingen omdat u zeker moet weten dat u deze gegevens ook inderdaad mag gebruiken. Dit doet u in het zogenaamde ‘register van de verwerkingsactiviteiten’ (hierna: register).
U zult zorgvuldig in kaart moeten brengen welke persoonsgegevens u bijhoudt, waar deze vandaan komen en met wie u deze hebt gedeeld. U moet dus verwerkingen in een actueel en volledig overzicht registreren en bijhouden. Per verzameling van persoonsgegevens moet de nodige informatie worden bijgehouden, zoals de grondslag, wie eventuele verwerkers zijn en hoe lang gegevens mogen worden bewaard. Hoe pakt u dit nu in de praktijk aan?
In de eerste plaats zult u een passende vorm voor het register moeten kiezen. De meest praktische is een word bestand of Excel sheet. Voor de gemiddelde organisatie zal dit ook voldoende zijn. Hoe groter de organisatie, of hoe meer verzamelingen bij diverse afdelingen liggen, hoe groter de behoefte aan gespecialiseerde tools.
In de tweede plaats moet u nagaan hoe u de volledigheid van het register kunt controleren. U kunt er niet van uitgaan dat iedereen uit zichzelf komt melden waar zich persoonsgegevens bevinden. Persoonsgegevens bevinden zich vaak bij bijvoorbeeld Personeelszaken (werving & selectie, arbeidsgerelateerde administraties), ICT (smoelenboek, active directory, ICT servicedesk) en Facilitair Management (camera’s, klachtenafhandeling, bezoekersregistratie).
In de derde plaats zult u moeten aangeven wie verantwoordelijk is voor het vullen van het register. Het maakt de AVG niet uit wie intern het register vult. Het is logisch om, zeker bij grotere organisaties, het register decentraal te laten vullen (bijvoorbeeld één aanspreekpunt bij HR, één aanspreekpunt bij ICT, één aanspreekpunt binnen primair proces A, et cetera).
In de vierde en laatste plaats moet u nadenken over hoe u de actualiteit van het register kunt waarborgen. Uw organisatie staat niet stil. De dag nadat uw organisatie met veel pijn en moeite versie 1.0 van het register heeft afgerond, is het waarschijnlijk alweer achterhaald. Het hebben van een register is niet een ‘projectje’ dat je kunt afronden, het leidt echt tot een permanente beheertaak.
Naast een register van verwerkingsactiviteiten zult u, van de verschillende soorten gegevensverwerkingen die u daarin hebt vastgelegd, ook de wettelijke grondslag moeten identificeren. Ga hierover in overleg met een jurist, het is immers een zeer specialistische taak.
In het volgende artikel wordt ingegaan op de verwerkingsverantwoordelijke en de verwerker. Wisselt uw gegevens over cliënten uit in een netwerk met anderen? Heeft u met hen duidelijk afspraken gemaakt over beveiliging, geheimhouding, het melden van een datalek e.d.?