De AVG kent een aantal vereisten voor de verwerking van persoonsgegevens. Zo dien je bijvoorbeeld niet meer persoonsgegevens te verwerken dan noodzakelijk is, mag je de persoonsgegevens enkel verwerken voor het doel waarvoor ze verzameld zijn en dien je in een verwerkingsregister bij te houden welke persoonsgegevens je voor welke doeleinden verwerkt. Maar weet jij eigenlijk wel welke persoonsgegevens er binnen jouw organisatie verwerkt worden? En hoe ga je hierachter komen? In dit blog leer je meer over de manier waarop je dit kunt achterhalen.
Inventarisatie
Voldoen aan de AVG begint met een grondige inventarisatie van de gegevensverwerkingen die binnen de organisatie plaatsvinden. Dit is echter makkelijker gezegd dan gedaan. Want hoe ga je erachter komen welke persoonsgegevens er binnen jouw organisatie verwerkt worden en waarom de gegevens eigenlijk verwerkt worden? En wat wil je eigenlijk allemaal te weten komen?
Een goed uitgangspunt om erachter te komen welke persoonsgegevens er worden verwerkt, is het verwerkingsregister. Tenminste, als de organisatie het verwerkingsregister op orde heeft. Het verwerkingsregister is ten slotte in feite een overzicht van wat er precies met persoonsgegevens gebeurt binnen de organisatie. In het verwerkingsregister neem je in ieder geval de volgende informatie op:
- de doeleinden waarvoor persoonsgegevens verwerkt worden;
- de categorieën betrokkenen;
- de categorieën persoonsgegevens;
- de categorieën ontvangers;
- of persoonsgegevens naar derde landen doorgegeven worden, en zo ja om welk land het gaat en (in het geval doorgifte plaatsvindt op basis van artikel 49 AVG) welke maatregelen getroffen zijn om de persoonsgegevens te beschermen;
- de beoogde termijn waarbinnen de persoonsgegevens bewaard zullen blijven en waarom; en
- een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
Heb je het verwerkingsregister niet op orde, dan wil je tijdens de inventarisatie de hierboven genoemde informatie achterhalen. De makkelijkste manier om achter de informatie te komen, is door gesprekken te voeren met medewerkers van de verschillende afdelingen binnen de organisatie. Te denken valt dan bijvoorbeeld aan de leidinggevenden van de afdelingen, maar ook aan de medewerkers die voor hun dagelijkse werkzaamheden te maken krijgen met persoonsgegevens. Juist deze medewerkers zullen goed inzicht hebben in welke persoonsgegevens er nu eigenlijk verwerkt worden en waarvoor de gegevens nodig zijn. Bovendien weten zij met welke systemen zij werken en wie dus mogelijk als ontvangers van de persoonsgegevens aan te merken zijn.
Om er zeker van te zijn dat je niets vergeet, kan je werken met een standaard vragenlijst, die gebaseerd is op de informatie die je op dient te nemen in het verwerkingsregister. Met deze vragenlijst kun je op de verschillende medewerkers afstappen, maar je kunt deze natuurlijk ook op de mail zetten en de medewerkers vragen om deze zelf in te vullen. Omdat organisaties zich ontwikkelen en de wetgeving kan veranderen, is het van belang dat de inventarisatie in ieder geval één keer per jaar herhaald wordt. Op die manier weet je zeker dat je op de hoogte blijft van de persoonsgegevens die binnen jouw organisatie verwerkt worden.
Wat te doen met de opgedane informatie?
Heb je de inventarisatie afgerond en weet je precies welke persoonsgegevens er binnen jouw organisatie verwerkt worden, waarom dit gebeurt en hoe? Dan ben je er nog niet helemaal. De volgende stap is namelijk om deze informatie op te nemen in het verwerkingsregister. Op die manier zet je ook meteen een goede stap in de richting van het voldoen aan jouw verantwoordingsplicht. Vanuit het verwerkingsregister kun je vervolgens verder werken richting de overige verplichtingen uit de AVG, zoals de informatieverplichting richting betrokkenen. Maar onthoud: voldoen aan de AVG begint bij een grondige inventarisatie!