BVNG Groningen

Kennisartikel Privacy | AVG en het register van verwerkingen


De AVG en het register van verwerkingen

Het instrument waarvan we niet wisten dat we het nodig hebben.
Per 25 mei 2018 is onder de AVG (Algemene Verordening Gegevensbescherming) een verplichting gekomen om een register van verwerkingen bij te houden.

Artikel 30 Register van de verwerkingsactiviteiten stelt:

“1.Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden.”

“2.De verwerker, en, in voorkomend geval, de vertegenwoordiger van de verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht.”

Waar binnen de Wet bescherming persoonsgegevens (Wbp) alleen bepaalde verwerkingen zouden moeten worden aangemeld bij de Autoriteit Persoonsgegevens, is er nu een verplichting gekomen om de verwerkingen van persoonsgegevens binnen de organisatie vast te leggen.

Waarom de verplichting

De Algemene verordening gegevensbescherming (AVG) legt meer verantwoordelijkheid bij de organisatie om aan te tonen dat de organisatie aan de privacyregels voldoet. De nieuwe regels dwingen om goed na te denken over welke persoonsgegevens van belang zijn voor het werk, en, hoe persoonsgegevens verwerkt en beschermt worden. De verantwoordingsplicht houdt in dat de organisatie moet kunnen aantonen dat de verwerkingen aan de regels van de AVG voldoen.

De organisatie moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:

  • rechtmatigheid
  • transparantie
  • doelbinding
  • juistheid

Ook moet de organisatie kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen.

De organisatie is verplicht verantwoording af te leggen over de gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt.

Voor wie geldt de verplichting

Artikel 30 van de AVG bepaalt dat de verwerkingsverantwoordelijke (en de verwerker in mindere mate) in een register informatie moet bijhouden over de verwerkingen die hij verricht.

Die verplichting geldt:

  • Voor ondernemingen of organisaties met meer dan 250 personen in dienst
  • Wanneer verwerkingen worden gedaan met een hoog risico
  • Wanneer niet-incidentele verwerkingen worden gedaan
  • Wanneer er verwerkingen van bijzondere categorieën persoonsgegevens of strafrechtelijke gegevens worden gedaan

Uitzondering: artikel 30 lid 5:

“De in de leden 1 en 2 bedoelde verplichtingen zijn niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft.”

Maar reken je als MKB bedrijf niet direct rijk. In de praktijk betekent dit dat een klein bedrijf dat enkele niet-incidentele verwerkingen doet, al onder de registerplicht valt. En dit is bij de meeste (kleine) organisaties het geval. Een niet-incidentele verwerking van persoonsgegevens is namelijk elke verwerking met enig structureel of voortdurend karakter. Het gaat dan om verwerkingen die nagenoeg elke MKB’er doet, zoals het bijhouden van een salarisadministratie, een klantenbestand en zelfs het gebruik van e-mail. Het komt er op neer dat de uitzondering zoveel haken en ogen heeft dat vrijwel niemand er onder valt.

Het register is dus ingesteld om een aantal waarborgen naar de gegevensverstrekkers te geven, en om als bedrijf goed na te denken over gegevens die nodig zijn om het werk goed te doen, en om goed na te denken hoe de beveiliging optimaal wordt. In verband met de meldplicht datalekken en de bijbehorende boetes moet die beveiliging toch al worden geoptimaliseerd.

Het register als kans

Nu kan de verplichting als iets negatiefs benaderd worden, maar ook als een aanleiding om de bedrijfsvoering een boost te geven.

Als een organisatie toch moet nadenken, kan het beter opbouwend en toekomstgericht zijn:

  • Welke gegevens zijn echt noodzakelijk en hoe richt je daar het werkproces goed op in?
  • Waar in de organisatie heb ik welke informatie nodig?
  • Hoe lang heb ik die informatie nodig?
  • Wie is in de organisatie verantwoordelijk voor die informatie?
  • Deel ik informatie met anderen? Zo, ja met wie, waar en waarom?
  • Is de informatie veilig?
  • Wat moet ik doen wanneer er een datalek ontstaat?

De verplichte velden uit het register stellen geen vreemde vragen. Eigenlijk is het gewoon de dagelijkse bedrijfsvoering voor de organisaties.

Door op een structurele wijze stil te staan bij de thema’s, sta je als organisatie ook eens stil bij je bedrijfsvoering. Doe ik de zaken nog wel op de meest efficiënte manier, of zijn er zaken in de bedrijfsvoering geslopen die niet nodig zijn.

En sta ik ook stil bij de vraag: sla ik niet teveel op? Wat ik niet uitvraag hoef ik niet te beschermen, kan ik niet lekken, en hoef ik niet op te slaan. Uiteindelijk kan dit met de vraag, hoe lang heb ik de informatie nodig, leiden tot een kleinere benodigde opslagcapaciteit.

Door leaner informatie op te vragen, op te slaan en beschikbaar te maken, heb ik een kleinere beheerschil nodig. Hierbij is het goed om de informatie alleen daar beschikbaar te hebben waar het nodig is. Nice to know van informatie kan ook leiden tot afleiden van het doel waarvoor de informatie nodig is en het onderliggende werkproces onnodig ingewikkeld maken.

Snellere besluitvorming

Heldere, korte werkinstructies met de basis waarom welke informatie nodig is, kan ook leiden tot snellere besluitvorming. Door niet afgeleid te worden door allerlei omstandigheden, buiten de scoop van de medewerker die de informatie nodig heeft, kan snel een beslissing en/of doorverwijzing plaatsvinden. Je hoeft niet te vergaderen met informatie die je in de eerste plaats niet mag hebben.

Door de informatie in de organisatie goed te alloceren, is het ook mogelijk verantwoordelijkheden in de lijn goed vast te stellen. Óf je bent er door de wet verantwoordelijk, voor gemaakt (bijvoorbeeld participatiewet), óf je hebt zelf een overeenkomst gesloten die je verantwoordelijk maakt (HRM, gemeenschappelijke regelingen). Die verantwoordelijkheid ligt altijd in de lijn.

Doordat de lijnen helder zijn, en er minder random informatie rondgaat is het ook gemakkelijker inhoud te geven aan de bescherming van die informatie. Die maatregelen uit de Baseline Informatiebeveiliging Gemeenten, Rijk, Waterschappen, en/of ISO27001, NEN7510 waarvan moeilijk uit te leggen was waarom die gevolgd zouden moeten worden, zijn in één keer helder. Omdat zij helder worden, worden ze ook meer gedragen door de organisatie en haar medewerkers. Meer resultaat tegen lagere inzet.

Bijvangst

Wanneer de organisatie bezig is met lean inrichten van de informatiekant van de organisatie, waarom zou je die lijn niet direct doortrekken naar andere verplichtingen uit de AVG.

  • Artikel 5: Transparantie
  • Artikel 12: Rechten van betrokkenen
  • Artikel 33 en 34 Datalekken
  • Artikel 35 en 36 (PIA – Risico analyse)

Doordat in het register  en in de organisatie goed is belegd waar de informatie zich bevindt, en wie er mee werkt en waarom, kan ook inhoud gegeven worden aan transparantie en rechten van betrokkenen, zonder dat de organisatie bij elke vraag van een cliënt/burger/medewerker, direct in een kramp hoeft te schieten.

In het register worden de kolommen toegevoegd van verantwoordelijk hoofd/manager en medewerker, en de vraag kan direct bij de juiste medewerker neergelegd worden. Deze kan uit het register (kolom applicatie toegevoegd) direct halen waar welke informatie vastligt, met wie die gedeeld wordt. Dit als onderdeel van de normale bedrijfsvoering, zoals bijvoorbeeld een WOB verzoek (Wet Openbaarheid Gemeenten) bij gemeenten.
Door hier een regulier werkproces van te maken, is er geen noodzaak de rest van de organisatie uit het gewone werk te halen.


Vertrouwen winnen: privacy als USP

Verder is het mogelijk door transparantie en heldere werkprocessen het vertrouwen van (potentiele) klanten en burgers te winnen. Maak informatieveiligheid en privacy een unique sellingpoint. Communiceer er over met van (potentiele) klanten en burgers, en vraag hen mee te doen. Hierdoor komen de risico’s ook beter in beeld en kan er een betere risico analyse gemaakt worden met prioritering. Leg een analyse methode vast, wees hier helder over en pas die consequent toe.

Laat cliënten/burgers meedenken over de risico’s en werkprocessen. Door hen volwassen mee te laten doen, zal het vertrouwen groter worden. En mocht er toch een datalek ontstaan, zal de acceptatie groter zijn. Immers: dan heeft niemand het risico goed ingeschat.

De werkprocedure datalekken, die toch verplicht aanwezig moet zijn, is ook goed te gebruiken om als een soort ideëenbus te fungeren binnen de organisatie. Zorg er voor dat niet alleen de functionaris gegevensbescherming en de Information Security Officer aan zet zijn. Door iedereen mee te laten doen, maak je iedereen bewust en is er een kleinere kans op datalekken.

Register als informatiebron voor andere bedrijfsfuncties

Door het register een onderdeel te laten worden van de gehele bedrijfsvoering, kan het ook een positief effect hebben op die bedrijfsvoering.

Wanneer we alle verwerkingen in beeld moeten hebben, kan dit een uitstekende start zijn voor een centrale database verwerkersovereenkomsten/contractmanagement, met de verantwoordelijken in de lijn.

Houdt daarin voor de applicaties dan ook meteen de economische levensduur en technische levensduur bij. Dat geeft meteen meer inzicht in de investeringsbehoefte.

Door de PIA (Privacy Impact Assesment) in het register vast te leggen heb je een mooi overzicht waar bepaalde risico’s binnen de organisatie liggen. Dit kan helpen bij het stellen van prioriteiten binnen de organisatie.

Input voor een goede PIA is het gemeten risico vanuit het verleden. Zijn er incidenten geweest, hoe zwaar moeten die gewogen worden en hoe kunnen we dit in de toekomst vermijden, afdekken of accepteren binnen marges. Waar moet de bedrijfsvoering worden bijgesteld.

Als afgeleide van zowel de PIA als het incidentmanagement, en de investeringen die naar voren komen uit het register, kan een beter gefundeerde planning gemaakt worden van de investeringen/changes die in de komende jaren gemaakt moeten worden in zowel de ICT infrastructuur, werkprocessen en organisatie.

Met andere woorden: het register is de verplichting waarvan we niet wisten dat we die nodig hadden voor onze bedrijfsvoering.

Grondrecht

Er zijn betere redenen te bedenken om de privacywetgeving te willen naleven. Het recht op privacy is een grondrecht en de bescherming van persoonsgegevens maakt daarvan onderdeel uit. Werknemers hebben er belang bij dat zorgvuldig wordt omgegaan met hun gegevens en ook klanten eisen steeds meer dat data niet ‘zomaar’ worden verwerkt. Onzorgvuldig handelen en datalekken kunnen tot reputatieschade leiden.

Omgekeerd kan het adequaat beschermen van persoonsgegevens een kans zijn om als organisatie onderscheidend te zijn en vertrouwen te wekken. Daarnaast grijpen sommige bedrijven de AVG aan om hun databestanden op te schonen, onder het motto ‘less is more’. Minder gegevens opslaan kan leiden tot lagere kosten en maakt het eenvoudiger de relevante informatie eruit te filteren.

Meer weten?

Wie (nog) meer wil weten, of gebruik wil maken van de privacyscan die BVNG aanbiedt aan gemeenten en organisaties, kan contact opnemen met BVNG Advies via 038-2022082.



Overige Advies Items



12 mrt

Week van de armoede: workshop 27 maart 'Mama is blut'

In de Week van het Geld organiseren BVNG Advies, Single Supermom en Kadera samen de activiteit ‘Mama is blut’. Dat gebeurt op woensdag 27 maart van 09:00 – 12:00 uur bij Stichting Focus aan de  Zerboltstraat 63 in Zwolle. Hiermee besteden de drie partijen extra aandacht aan de groep vrouwen en alleenstaande moeders.

24 okt

Lezingen Armoede in de kop

De reeks lezingen ‘Armoede in de kop’ heeft hele goede reacties opgeleverd. Crystal Ziel, die de lezingen verzorgde namens BVNG Advies, startte de serie op 9 oktober in Zwolle. Vervolgens deed Crystal ook Leeuwarden en Groningen aan.

11 sep

Congres Sociale Inclusie Madrid, Spanje

Op 20 en 21 September 2018 vindt het congres ‘Developing and implementing the active inclusion approach’ plaats in Madrid. Dit congres is een samenwerking tussen ESF Thematic Network Inclusion en EMIN. BVNG adviseur Crystal Ziel en een collega van de gemeente Zwolle spreken daar tijdens de presentatie van Nederland over sociale inclusie.

15 aug

BVNG Advies organiseert Lezing Armoede in de kop

Een groot aantal huishoudens in Nederland lukt het niet om financieel zelfstandig te zijn of te blijven.

05 jul

Terugblik | Kenniscafé Resultaatgerichte bekostiging in Leeuwarden

Het BVNG Kenniscafé over resultaatgerichte bekostiging heeft in een grote behoefte voorzien.

18 jun

Werkbezoek Minister Hugo de Jonge | 'GezondVeluwe' bij Gemeente Nunspeet

Op maandag 18 juni bracht minister Hugo de Jonge een werkbezoek aan GezondVeluwe. Een inspirerende netwerkorganisatie waarbij onze collega Esther van Rheenen de afgelopen zeven maanden betrokken was als adviseur vanuit haar opdrachtgever Gemeente Nunspeet.

19 apr

Terugblik | Kenniscafé Jeugd in Zwolle

BVNG Kenniscafé Jeugd voorziet in behoefte. Ook het tweede BVNG Kenniscafé Jeugd heeft een goede opkomst en positieve reacties opgeleverd. Op donderdag 19 april hebben ruim 30 belangstellenden kennis en ervaringen gedeeld in De Nieuwe Buitensociëteit in Zwolle. 

05 apr

Terugblik | Kenniscafé Jeugd in Hoorn

Afgelopen donderdag organiseerde BVNG een druk bezocht Kenniscafé Jeugd in Grand Café Turf  in Hoorn. 

21 mrt

BVNG partner van DDFK-gemeenten | In projectmatig werken

BVNG gaat de komende maanden de DDFK-gemeenten ondersteunen in de invoering van het projectmatig werken. Afgelopen week is hiervoor door de DDFK-gemeenten de definitieve gunning aan ons bureau afgegeven. 

05 mrt

Kennisartikel Privacy | AVG en het register van verwerkingen

Het instrument waarvan we niet wisten dat we het nodig hebben. Per 25 mei 2018 is onder de AVG (Algemene Verordening Gegevensbescherming) een verplichting gekomen om een register van verwerkingen bij te houden.

18 jan

Burgerparticipatie? Een worsteling die ik nooit zal begrijpen

Onze collega Roel van Rijswijk schrijft regelmatig artikelen over thema's die zijn professionaliteit en werk raken. Ditmaal zijn overdenkingen over burgerparticipatie. 

19 sep

Verbeteren van de samenwerking om mensen met een psychische aandoening beter naar werk te begeleiden

Hoe kunnen mensen met een psychische aandoening beter naar werk worden begeleid? 

14 sep

Sociale (Wijk)Teams: Hoe kan het (nog) beter?

Voor de transities in het sociale domein hebben veel gemeenten gekozen voor Sociale (Wijk) Teams.

03 aug

Samenwerking Gemeenten en Veilig Thuis

Partnerschap in de aanpak van kindermishandeling en huiselijk geweld. 

21 jul

Gemeente Wierden vraagt hulp van BVNG Advies

De gemeente Wierden heeft BVNG Advies gevraagd samenhang aan te brengen in het beleid van de gemeente.

BVNG gebruikt cookies om het gebruik van de website te analyseren en het gebruikersgemak te verbeteren. Lees meer