Een verwerkingenregister is juist erg zinvol

door | jul 24, 2020

Een verwerkingenregister is juist erg zinvol

‘Het voelt als last, maar levert heel veel waarde voor je bedrijf’

Veel bedrijven en organisaties zien het opstellen van een verwerkingenregister als een vervelende administratieve last van de AVG. Het tegendeel is waar, zegt privacy-expert Joris Bijvoets van AVG Compleet. ,,Je moet het omkeren: het is leuk en belangrijk om te hebben. Het is een ultiem middel om grip te krijgen op security- en privacy-management. Een papieren tijger is het allerminst.’’

Een verwerkingenregister is vrijwel altijd verplicht

Volgens de Algemene Verordening Gegevensbescherming (AVG) zijn bijna alle organisaties verplicht om een verwerkingenregister op te stellen en te beheren. Dit geldt voor elk bedrijf en elke organisatie die structureel persoonsgegevens verwerkt. Dat kunnen gegevens zijn van klanten, leveranciers, cliënten, medewerkers of samenwerkingspartners. Van klein tot groot: het verwerken van gegevens gebeurt al snel. Van de glazenwasser die zijn klanten elk kwartaal een rekening stuurt, tot de zorginstelling met duizenden medewerkers die gevoelige medische gegevens van patiënten beheert.

 

ONline training van AVG

Online Training Basiskennis AVG

Bijzonder nuttig als je snel alles wilt leren van privacybescherming.  

Welke persoonsgegevens verwerk jij? Dit hoort in een verwerkingenregister

In het verwerkingenregister staat beschreven welke persoonsgegevens worden verwerkt, voor welk doel dat gebeurt, en hoe lang die worden bewaard. Hoe groter de organisatie, hoe omvangrijker is het opstellen van het verwerkingsregister. ,,Voor een loodgieter zal dat een Excel-sheet zijn met een paar regels’’, zegt Bijvoets. ,,Voor een grote organisatie zal het Excel-sheet meerdere tabbladen hebben, bijvoorbeeld voor de verschillende afdelingen als Human Resources, Financiën, Marketing en Verkoop. In het beste geval heeft elke verwerking een eigen tabblad, met een uitgebreide beschrijving hoe de persoonsgegevens worden verwerkt.’’

 

Start met een stakeholder-analyse.

Het is een klus die inzichtelijk maakt welke persoonsgegevens eigenlijk allemaal binnen een organisatie rondzwerven. Bijvoets: ,,Je komt erachter dat je bepaalde dingen nog niet weet. Mijn tip is om te beginnen met een stakeholder analyse. Je maakt een overzicht van alle partijen die iets met jou te maken hebben. Je bekijkt welke gegevens worden uitgewisseld en welke afspraken hierover zijn gemaakt. Vervolgens ga je per afdeling kijken: wie doet wat met de gegevens?’’

Als het voorgaande ingewikkeld klinkt, we doen vaak een quick scan bij ondernemers. Een makkelijke en goedkope manier om het op orde te krijgen. Binnen 5 dagen weet je alles en krijg je handvatten aangereikt. Lees meer: klik hier

Leg de coordinatie bij een persoon

Het is handig om één persoon aan te stellen die dit allemaal in kaart brengt, zoals de privacy officer. ,,Die merkt bijvoorbeeld dat de HR-afdeling een heel belangrijk bestand beheert met gegevens van medewerkers. Misschien is dit bestand wel slecht beveiligd. Door het opstellen van een verwerkingenregister stel je iets in werking wat mensen tot nadenken zet. Je komt te weten welke persoonsgegevens allemaal worden verwerkt en of dit veilig gebeurt. Niet iedereen beseft dat. Het ‘nonchalant’ bijhouden van gegevens is niet genoeg.’’ Bijvoets vergelijkt het met de regel dat je rechts moet rijden in Nederland. ,,Daar hoor je nooit iemand over klagen. Maar het register stel je één keer op en daar is een hoop gemor over. Mensen begrijpen niet hoe prettig het is om dit te hebben.’’

 

Er wordt op gecontropleerd

Het opstellen en beheren van een verwerkingsregister levert aanmerkelijke voordelen op, maar de Autoriteit Persoonsgegevens (AP) controleert ook of organisaties aan deze plicht voldoen. Bijvoets: ,,Als je geen register hebt terwijl dat wel nodig is, riskeer je een boete. In het meest extreme geval kan dit oplopen tot € 20 miljoen, maar de AP zal boetes uitdelen naar billijkheid. Vergeet echter niet dat een boete veel minder relevant is dan het verlies van vertrouwen bij relaties als het misgaat. Als er gegevens op straat komen te liggen. Die schade is veel groter dan die € 10.000 boete die je misschien moet betalen.’’

“Goed opzetten van je privacybescherming, vraagt om veel details.” 

Lees er alles over in onze gratis whitepaper.

 

Een checklist op te helpen de AVGAVG opzettem

Download onze gratis checklist, >> klik hier

Maatwerk is belangrijk.

Het opstellen van een verwerkingenregister is maatwerk en zal voor elke organisatie anders zijn. Bijvoets: ,,Een zzp’er krabbelt wat op een servetje en voor een grote zorginstelling zal zelfs een Excel-sheet met meerdere tabbladen ontoereikend zijn. Zo’n organisatie heeft waarschijnlijk speciale software nodig. Voor veel MKB’ers voldoet een basistemplate.

Als AVG Compleet helpen wij bedrijven en organisaties daarbij. Als iemand een AVG Quickscan door ons laat uitvoeren, krijg je ook een template voor het opstellen van een verwerkingenregister.’’

Op de hoogte blijven van trends in privacy en informatiebeveiliging?  

'Schrijf je in op de nieuwsbrief'


Lees ook:

Share This