Please select a page template in page properties.

Register van verwerkingen

Het toevoegen van je verwerking van persoonsgegevens in een 'register van verwerkingen' is een van de laatste acties die je in een onderzoek uitvoert. Je ziet dat deze handeling dan ook hoort bij het laatste stationnetje op de Metro-kaart. Op deze pagina lees je alles over wat het register van verwerkingen precies is en wat jij en de onderzoeker er aan hebben.

Dit moet je minimaal weten over het register van verwerkingen:

  • een register van verwerkingen is verplicht om bij te houden indien je persoonsgegevens in onderzoek verwerkt.
     
  • iedere instelling mag zelf de structuur en technologie kiezen waarin het register wordt opgebouwd.
     
  • is de verwerking van persoonsgegevens in het ene onderzoek vergelijkbaar met de verwerking van persoonsgegevens in een onderzoek dat al in het register is opgenomen, dan mag je beide onderzoeken bundelen tot een 'categorie van verwerkingen'. Vergelijkbare onderzoeken hoef je dan alleen aan deze categorie te koppelen.

Wil je een uitgebreidere toelichting op wat een register van verwerkingen precies inhoudt en wat de voordelen ervan zijn, lees dan onderstaande teksten rustig door:

Het register van verwerkingen


Wat is het?

Wat is het?

Verwerk je persoonsgegevens (bijvoorbeeld in een onderzoek), dan dien je volgens artikel 30 AVG een register van de verwerkingsactiviteiten die onder jouw verantwoordelijkheid plaatsvinden bij te houden. Een organisatie is vrij om dit naar eigen inzicht in te richten; de AVG zegt niets over de technologie of structuur die je daarvoor dient aan te houden. Voor een kleine organisatie met een beperkt budget zou bijvoorbeeld ook een Excel-document kunnen volstaan. 

In een register van verwerkingen leg je conform artikel 30.1 a t/m g AVG van iedere verwerking de volgende gegevens vast:

a) de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;

b) de verwerkingsdoeleinden;

c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;

e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen;

f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;

g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.

De AVG geeft in artikel 4 aan wat de wet onder een ‘verwerking’ verstaat:

Een verwerking is een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

Een onderzoek kun je zien als een geheel van bovenstaande verwerkingen. In een onderzoek gaat het om het verzamelen, ordenen, analyseren, structureren, (op termijn) vernietigen, communiceren, etc. van persoonsgegevens. Voor ieder type onderzoek zal dus een registratie in het register van verwerkingen nodig zijn. Het is niet noodzakelijk, maar wel mogelijk, om van elk individueel onderzoek een registratie in het register van verwerkingen op te nemen. De AVG laat namelijk ruimte met betrekking tot de granulariteit van de registratie: op het niveau van 'individuele verwerkingen' dan wel 'categorieën van verwerking’. De grond voor deze zienswijze is te vinden in de artikelen AVG Art 30. 2., AVG art 23. 2.a. en AVG art 23. 2.f.

Wat heb je er aan?

Wat heb je er aan?

Een gestructureerd register van verwerkingen, waarin je als privacy officer snel de gewenste data terug kunt vinden, heeft als voordeel dat:

  • Indien er bij de Autoriteit Persoonsgegevens een klacht binnenkomt, er vanuit het register van verwerkingen direct in te zien is welke afwegingen er binnen een specifiek onderzoek gemaakt zijn. Ook is daarbij direct te zien welke waarborgen en maatregelen er met betrekking tot de bescherming van persoonsgegevens zijn genomen. Met een goed functionerend register van verwerkingen toon je direct aan dat je als organisatie ‘in control’ bent over alle verwerkingen van persoonsgegevens die onder jullie verantwoordelijkheid plaats hebben gevonden.
     
  • Bij veranderende wetgeving het register van verwerkingen direct inzicht kan bieden binnen welke onderzoeken bepaalde persoonsgegevens verwerkt zijn. Verandert bijvoorbeeld de wetgeving rondom BSN-nummers, dan moet je als privacy officer in een goed functionerend register van verwerkingen direct terug kunnen vinden binnen welke onderzoeken BSN-nummers gebruikt zijn. Zo ben je niet alleen voor de Autoriteit Persoonsgegevens, maar ook voor de eigen organisatie volledig ‘in control’ over alle verwerkte persoonsgegevens. 
     
  • Indien de opzet van een onderzoek identiek is aan een al eerder uitgevoerd onderzoek (dus de aard van de verwerking is hetzelfde) dat valt dat onderzoek binnen een ‘categorie van verwerkingen’. Ieder vervolgonderzoek dat qua opzet binnen deze categorie valt hoeft daarmee in het register alleen het onderzoek te koppelen aan de al bestaande categorie; er hoeft geen volledig nieuwe registratie plaats te vinden, de genomen maatregelen en waarborgen komen immers overeen met de al eerder uitgevoerde onderzoek binnen de categorie. Dit versnelt het proces van registratie en scheelt veel werkzaamheden.

    Zie hiertoe de granulariteit die de AVG hanteert met betrekking tot waarborgen tav 'individuele verwerkingen' dan wel 'categorieën van verwerking':

    AVG art 23. 2.a. "de doeleinden van de verwerking of van de categorieën van verwerking”.

    AVG art 23. 2.f  "de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking”.

    AVG art 30. 2.   "een register van alle categorieën van verwerkingsactiviteiten".

    Grond 110       "doorgifte of categorieën van doorgiften van persoonsgegevens”.

    Zo’n scenario kan er bijvoorbeeld als volgt uit zien, waarbij aan de hand van enkele aspecten van de verwerking een scenario ontstaat. Het bestand dat hieronder als afbeelding is weergegeven, is hier te downloaden.

     
  • In veel gevallen, zeker bij extern gefinancierd onderzoek, bestaat er voor de onderzoeker al de verplichting om een data management plan op te stellen voor het onderzoek. Een deel van de informatie die geregistreerd dient te worden in het register van verwerkingen staat ook al in het data management plan. Het verdient dus aanbeveling om met de data stewards en de privacy officers binnen de instelling te kijken waar overlap en dus dubbel werk voor de onderzoeker kan worden voorkomen. Hetzelfde speelt voor onderzoek dat door een ethische commissie of een internal review board wordt beoordeeld; deels wordt hier informatie verzameld die ook wordt gevraagd ten behoeve van een adequate registratie in het register van verwerkingen.