Om te kunnen voldoen aan de geldende privacywetgeving zijn vrijwel alle organisaties verplicht om een verwerkingsregister bij te houden. Het verwerkingsregister bevat in ieder geval: de naam en contactgegevens van de organisatie, de verwerkingsdoeleinden, de persoonsgegevens en betrokkenen, de ontvangers van persoonsgegevens en ontvangers uit derde landen en tot slot de bewaartermijnen en genomen beveiligingsmaatregelen. In deze blog staan de ontvangers van de persoonsgegevens centraal.
Veel organisaties laten persoonsgegevens door andere organisaties verwerken, waarbij laatst genoemde als een verwerker (en daarmee derde partij) valt aan te merken. Om deze verwerking door de ingeschakelde partij in overeenstemming met de wet te laten verlopen, is het hebben van inzicht in deze partijen en de gemaakte afspraken belangrijk. Hierbij komt het belang van het verwerkingsregister kijken. Het verwerkingsregister helpt het overzicht te behouden van alle verwerkingsactiviteiten van je organisatie. Maar het opstellen (en bijhouden) van zo’n register kan ingewikkelder zijn dan het lijkt. Bij het opstellen van een verwerkingsregister lopen organisaties er regelmatig tegenaan dat ze niet precies weten wie hun verwerkers zijn. Daarom dient er tijdens het opstellen van een verwerkingsregister een grondige inventarisatie plaats te vinden.
Verwerkers inventariseren
Een handige aanpak voor de inventarisatie van je ontvangers van persoonsgegevens is om per afdeling binnen de organisatie na te gaan wie welke persoonsgegevens verwerkt, of beter gezegd: laat verwerken. Stel per afdeling een persoon aan die de inventarisatie van zijn of haar afdeling op zich neemt. Zo kan onderscheid worden gemaakt in bijvoorbeeld de marketing, HR en de financiële afdeling van je organisatie. Op die manier krijg je inzicht in welke leverancier, welke persoonsgegevens voor jouw organisatie verwerkt.
Zo krijg je bijvoorbeeld inzicht in welke persoonsgegevens worden verwerkt om de loopbaan van je personeel bij te houden en welke systemen daarvoor worden gebruikt. Hierbij kan het verstandig zijn om direct een onderscheid tussen ‘gewone’ en bijzondere persoonsgegevens te maken. Het is ook belangrijk om naar het land te kijken waar de persoonsgegevens door de leveranciers worden verwerkt. Verder kan er meteen worden nagegaan of er met iedere leverancier van dienstverlening een verwerkersovereenkomst is gesloten. Wanneer dit het geval is, verdient de locatie waar de persoonsgegevens worden verwerkt nog even goed de aandacht.
Nu in juli 2020 het Privacy Shield ongeldig is verklaard door het Europese Hof van Justitie moeten er mogelijk andere passende waarborgen worden genomen ter bescherming van de verwerking van persoonsgegevens buiten de Europese Economische Ruimte (EER). Tot slot kan er, wanneer er nog geen bestaande verwerkersovereenkomst is gesloten tussen jouw organisatie en de leverancier, meteen op worden toegezien dat dit alsnog gebeurt.
Klaar met inventariseren
Wanneer de inventarisatie erop zit, kan de verzamelde informatie over de verwerking van persoonsgegevens binnen je organisatie worden gebundeld, waardoor een lijst met verwerkingen en ontvangers ontstaat. Vervolgens kan deze informatie worden opgenomen in het verwerkingsregister en door deze aanpak ook meteen op ‘soort verwerking’ worden gecategoriseerd. Verder dienen de verwerkingen bij voorkeur te worden gespecificeerd tot de bedrijfsnaam van de leverancier en de soort dienst die hij aan jouw organisatie verleend. Opnieuw is hierbij de locatie waar (binnen of buiten Europa) de persoonsgegevens verwerkt worden van belang, omdat dit ook in het verwerkingsregister moet worden opgenomen. Indien er een FG is aangesteld binnen de organisatie, kan deze de inventarisatie en het opstellen van het verwerkingsregister op zich nemen.
Helemaal klaar?
Nadat de inventarisatie is voltooid, kan je als organisatie zijnde niet achterover leunen. Om door de tijd heen te kunnen blijven voldoen aan de AVG zal de inventarisatie vaker (bijvoorbeeld jaarlijks) herhaald moeten worden. Om meteen goed bij te blijven met de ontwikkelingen binnen de organisatie, wordt aangeraden om bij het aangaan van een samenwerking met een nieuwe leverancier, meteen een verwerkersovereenkomst te sluiten en de leverancier op te nemen in het verwerkingsregister op bovenstaande wijze.
Op die manier wordt het eenvoudiger om het verwerkingsregister up-to-date te houden en te kunnen aantonen dat jouw organisatie veilig met persoonsgegevens omgaat. Hulp nodig? Onze juristen hebben ervaring met het nauwkeurig opstellen van een verwerkingsregister, zodat eventuele knelpunten snel zichtbaar worden. Privacy Verified denkt graag met je mee!
