Aanbevelingen voor registers van verwerkingen

De Autoriteit Persoonsgegevens (AP) heeft, na bijna een halfjaar, duidelijkheid gegeven over de documentatieplicht vanuit de Algemene Verordening Persoonsgegevens (AVG). Als belangrijkste aanbeveling staat het benoemen van de bewaartermijnen per type persoonsgegeven in het register van verwerkingen genoemd.

Joanknecht gebruikt het register van verwerkingen als evaluatiemiddel om te kijken naar waar bedrijven en organisaties staan met de naleving van de AVG. Aldus Lucas Vousten, partner IT Audit: ‘Bij veel mkb-organisaties is pragmatisch invulling gegeven aan de AVG en de documentatieplicht. Helaas zien we in de aangetroffen registers vaak geen koppelingen tussen (persoons)gegevens en beveiligingsmaatregelen. Onze ervaring is dat door het in kaart brengen van de verwerkingsactiviteiten een belangrijke bijdrage kan worden geleverd aan het verbeteren van de informatiebeveiliging.’

Vijf concrete aanbevelingen over het register van verwerkingen

Op basis van het verkennend onderzoek naar de registers van verwerkingen komt de AP met vijf concrete aanbevelingen:

  • Benoem hoe lang en met welk doel je persoonsgegevens wilt bewaren: onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarvoor ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
  • Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register: niet elke organisatie is verplicht een ‘functionaris gegevensverwerkingen’ aan te stellen. Toch heeft het opnemen van contactgegevens voordelen voor het snel vinden van diegene die verantwoordelijk is gesteld voor privacy/informatiebeveiliging binnen de organisatie.
  • Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren: behoud dit overzicht ook door niet eindeloos kolommen toe te voegen voor specifieke verwerkingsactiviteiten maar refereer indien nodig naar ondersteunende documentatie.
  • Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register: deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen. Dit kunnen zowel fysieke als digitale locaties zijn.
  • Maak duidelijk welk doel bij welke verwerking hoort: alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende. Een uiteenzetting en koppeling is aan te bevelen.

Kunnen wij u helpen?

De AP heeft veel informatie over het register van verwerkingen op de website staan. Ook Joanknecht kan u hierbij ondersteunen. Neem voor een nadere kennismaking gerust contact op met Lucas Vousten, via +31 (0)40 240 9516 of lvousten@joanknecht.nl, of Anske Jongsma, via +31 (0)40 240 9428 of ajongsma@joanknecht.nl.