De AVG somt de vereisten voor het verwerkingsregister duidelijk op. Naast contactgegevens en algemene informatie, bevat het verwerkingsregister specifieke informatie over alle bedrijfsprocessen waarbij persoonsgegevens verwerkt worden. Het is niet eenvoudig inzicht te verkrijgen in alle relevante bedrijfsprocessen en daarbij de eisen van de AVG uit te werken. Het opzetten van het register voelt daarom als een lastige en tijdrovende verplichting. De moeite loont echter ruimschoots. Een volledig register vormt het kloppend hart van de privacy compliance van een organisatie.
Verwerkingsregister opstellen en up-to-date houden
Een up-to-date verwerkingsregister is natuurlijk verplicht, maar het register maakt het ook eenvoudiger om aan andere eisen van de privacywetgeving te voldoen. De volgende vier tips helpen bij het beheer van het register. Zowel proactief als reactief.
1. Wees betrokken bij nieuwe of gewijzigde bedrijfsprocessen
Zorg voor nauwe betrokkenheid bij het beheer van processen of geef proceseigenaren zelf de lead over het verwerkingsregister. Als zij hun verantwoordelijkheid op de juiste wijze dragen, zullen relevante wijzigingen en innovaties snel op de juiste plaats in het register worden opgenomen.
2. Weet inkopers van de organisatie te vinden
Om tijdig nieuwe processen te signaleren, is het belangrijk dat de inkopers van de organisatie kennis hebben van het verwerkingsregister. Zij behoren doorgaans tot de eersten binnen de organisatie die nieuwe processen en leveranciers signaleren, die bijvoorbeeld verwerker zijn of persoonsgegevens ontvangen.
3. Controleer periodiek of het register nog klopt
Het verwerkingsregister is een dynamisch document, ongeacht of er een Excelsheet of een tool voor is gebruikt. Controleer daarom regelmatig of de informatie in het register nog klopt. Het is raadzaam om een procedure op te zetten aan de hand van bestaande werkwijzen. Het kan bijvoorbeeld een onderdeel zijn van (interne) audits, de plan-do-check-act cyclus (PDCA) of de planning en controlecyclus (PenC). Door het verwerkingsregister regelmatig naast het contractenregister te houden, blijven alle uitwisselingen van persoonsgegevens met leveranciers in beeld.
4. Ga met collega’s in gesprek over hun werk
Bestaande bedrijfsprocessen veranderen. De dynamische bedrijfsprocessen van HR, CRM, IT, Finance, Marketing en Sales kunnen absoluut niet zonder persoonsgegevens. Functioneel beheerders weten bijvoorbeeld erg veel over applicaties en systemen. Organiseer daarom periodieke bijeenkomsten met collega’s van andere afdelingen om te bespreken wat zij doen met persoonsgegevens.
Een kloppend hart functioneert het best!
Organisaties hebben in aanloop naar de AVG veel tijd gestoken in het opzetten van het verwerkingsregister. Het is zonde als dat werk versloft! Een juist en actueel verwerkingsregister is onmisbaar voor de verantwoordingsplicht en geeft inzicht in relevante wettelijke verplichtingen en risico’s. De hiervoor genoemde tips helpen bij het kloppend houden van je register.
Privacy specialisten nodig?
Neem bij twijfel over de juistheid van het verwerkingsregister of bij behoefte aan passend advies contact op met Paul Schraven. Onze ervaren privacy counsels staan klaar om je te ondersteunen of ontzorgen bij het opzetten én actualiseren van het register. Eerst meer weten over onze dienstverlening?
