Skip to main content

Een verwerkingsregister invullen, hoe pak je dat aan?

| Erna Havinga | ,

Voorheen had je als gemeente een (algemene) meldplicht vanuit de Wet bescherming persoonsgegevens (Wbp), als het gaat om de verwerking van persoonsgegevens. Zo moest je voorafgaand aan een nieuwe verwerking een melding te maken bij de Autoriteit Persoonsgegevens (AP), nu niet meer. Met de komst van de AVG op 25 mei aanstaande gaat dit veranderen en ben je als gemeente verplicht om al je verwerkingen van persoonsgegevens bij te houden in een eigen register, een zogeheten verwerkingsregister. Hoe kan je een verwerkingsregister nu invullen?

Verantwoordingsplicht

In een register verwerkingen worden alle verwerkingen van persoonsgegevens die je als gemeente verwerkt vastgelegd. Artikel 30 van de AVG geeft een beschrijving waar dit register uit moet bestaan. Denk bijvoorbeeld aan zaken als: het doel van de verwerkingsactiviteiten, een omschrijving van de categorieën van persoonsgegevens die je verwerkt, de categorieën ontvangers van de persoonsgegevens, de bewaartermijn van de gegevens en de technische en organisatorische maatregelen om de gegevens te beschermen. Uiteraard belangrijk én noodzakelijk, want met het register kun je als gemeente voldoen aan de nieuwe verantwoordingsplicht die je straks hebt vanuit de AVG en het geeft de mogelijkheid om transparant te zijn richting de burger. Okee…, zul je misschien denken. Maar dan volgt de uitvoering en die is in praktijk vaak lastiger. Zeker voor grote gemeenten. Want hoe pak je dit aan? Hoe ga je als gemeente het register vullen? En belangrijker nog, bijhouden? Vanuit IB&P hebben we inmiddels diverse ervaringen met het invullen van het verwerkingsregister.

Aan de slag!

Het is belangrijk om je als gemeente af te vragen hoe je dit gaat organiseren. Om je hierbij een handje te helpen zijn er diverse handige tools beschikbaar. Maar hoe het register daadwerkelijk gevuld gaat krijgen binnen je gemeente, worden niet echt handvatten gegeven. Daarom heb ik onderstaand een aantal stappen voor je hoe je dit aan kunt aanpakken:

  • Stap 1: Zorg voor betrokkenheid

Organiseer een workshopsessie voor alle managers/leidinggevenden, waarbij wordt ingegaan op het wat, waarom en hoe van het verwerkingsregister. Kortom, wat is het verwerkingsregister?, waarom hebben we deze verplichting als gemeente vanuit de AVG? en hoe gaan we het register vullen en bijhouden? Tijdens deze sessie is het belangrijk dat helder wordt wat de rol en verantwoordelijkheden zijn van de proceseigenaren c.q. functioneel beheerders in dit proces. Kortom, er dient betrokkenheid vanuit het management te zijn, zodat deze medewerkers ook tijd krijgen om dit (erbij) te doen, als onderdeel van hun functie.

  • Stap 2: Train de betrokkenen

Organiseer een vervolgsessie voor de proceseigenaren c.q. functioneel beheerders en in sommige gevallen de applicatiebeheerders (dit is afhankelijk van hoe het proces binnen jouw gemeente georganiseerd is). Tijdens deze sessie wordt inhoudelijk ingegaan op alle onderdelen van het verwerkingsregister en krijgen de deelnemers een demonstratie. Zo wordt voor iedereen helder, wat, waar en hoe gedaan moet worden. Eindig de bijeenkomst met het gezamenlijk oefenen van het invullen van een verwerking in het register, waarbij de deelnemers inhoudelijk ondersteund worden en vragen kunnen stellen.

  • Stap 3: Begeleid de medewerkers die het register moeten invullen

Organiseer vervolgens gezamenlijke invoersessies, waarbij onder begeleiding het verwerkingsregister wordt ingevuld. Deze sessies zijn verplicht voor alle proceseigenaren c.q. functioneel beheerders of applicatiebeheerders (afhankelijk van wie verantwoordelijk wordt voor het operationeel bijhouden van het register). Uiteraard mogen zij ook buiten deze sessies om het register invoeren, maar 1x per week is het voor 1,5 uur verplicht om bij de invoersessie aanwezig te zijn voor ondersteuning en er voor te zorgen dat er voortgang wordt gemaakt met het invoeren van het register. Op deze manier kun je de voortgang bewaken en mogelijke problemen snel bespreken.

  • Stap 4: Beoordeel het register

Nadat het verwerkingsregister is ingevuld, vindt er een interne validatie plaats. Hierbij moeten de afdelingsmanagers hun onderdeel van het verwerkingsregister waar zij verantwoordelijk voor zijn, inhoudelijk beoordelen. De privacy officer beoordeelt vervolgens het register vakinhoudelijk, waarbij gelet wordt op zaken als: het doel, de bewaartermijnen et cetera. Voor de verificatie van de grondslag wordt aangeraden om ook de juristen te betrekken, vooral omdat het merendeel van deze grondslag te maken zal hebben met het uitvoeren van de publieke taak, waarbij beschreven moet worden vanuit welke wetgeving/grondslag dit blijkt.

  • Stap 5: Stel het register vast

Tot slot dient het verwerkingsregister ter vaststelling voorgelegd te worden aan het management. Hierna heeft het register een formele status en dient het via wijzigingsbeheerproces (die wordt ingericht om wijzigingen binnen verwerkingen via een formele weg te laten verlopen) te worden onderhouden. Daarbij zou tooling ook weer een handige ondersteuning kunnen bieden.

Aan de slag!

Bovenstaande aanpak is wellicht niet (in zijn geheel) op elke gemeente toepasbaar. Elke gemeente is immers weer anders georganiseerd. Belangrijk is dat je je tijdig voorbereid en een proces inricht om het verwerkingsregister te vullen en te onderhouden. Want nadat je weet hoe je het register moet invullen is de volgende stap hoe je het register kunt onderhouden. In mijn volgende blog zal ik daarom ingaan op hoe je dat proces kunt inrichten.

Is jouw gemeente al klaar met het verwerkingsregister? Hoe ver ben jij?

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…