3 Juni 2019

Het verwerkingsregister van de Autoriteit Persoonsgegevens: wat kunnen we ervan leren?

Het verwerkingsregister van de Autoriteit Persoonsgegevens: wat kunnen we ervan leren?

AuditConnect heeft het verwerkingsregister van de Autoriteit Persoonsgegevens (AP) opgevraagd en vervolgens ontvangen. In dit artikel analyseren we het verwerkingsregister van de AP. Het verwerkingsregister van de AP biedt een kans om meer duidelijkheid te krijgen over de interpretatie van de AVG door de AP zelf. Wat valt op en wat kunnen we ervan leren?

Waarom dit onderzoek?

Eén van aspecten waarin de Algemene Verordening Gegevensbescherming (AVG) echt vernieuwend is ten opzichte van de Wet bescherming persoonsgegevens (Wbp) is het verwerkingsregister. Onder de Wbp moesten organisaties verwerkingen van persoonsgegevens (in bepaalde gevallen) melden bij de Autoriteit Persoonsgegevens, nu moeten organisaties dit zelfstandig registeren in een verwerkingsregister, of in AVG-vaktermen: het register van de verwerkingsactiviteiten. Het opstellen van een compleet register is een lastige opgave, veel organisaties zijn een jaar na 25 mei 2018 nog steeds bezig met de initiële vulling. Over de vorm en inhoud van het verwerkingsregister kan veel gediscussieerd worden: welke extra velden gaan we toevoegen en wat is precies een verwerking? Is dat een handeling op procesniveau of gaat het om taakniveau? Is het afhandelen van een bestelling een verwerking of is het uitprinten van een verzendlabel een verwerking? Heeft het MKB gemiddeld vijf verwerkingen voor HR of twintig?

De AP en de Artikel 29-Werkgroep (thans: European Data Protection Board, EDPB) hebben weinig tot geen richtlijnen gegeven over het verwerkingsregister. De Artikel 29-Werkgoep heeft door middel van een ‘position paper’ enkel uitleg gegeven over de uitzonderingsgronden: wanneer hoeft een organisatie geen verwerkingsregister op te stellen. De AP heeft in november 2018 een vijftal aanbevelingen gedaan na een verkennend onderzoek op dit terrein die zijn uitgevoerd bij dertig organisaties. Het verwerkingsregister van de AP biedt een kans om meer duidelijkheid te krijgen over de interpretatie van de AVG door de AP zelf.

Het register van de AP

We hebben het verwerkingsregister ontvangen in Excel. Gezien het bestand gaan we ervan uit dat dit geen extractie is geweest uit een andere applicatie.

De AP heeft ervoor gekozen om aanvullende velden op te nemen in het verwerkingsregister:

  • Herkomst persoonsgegevens;
  • Gebruikte IT-Applicatie;
  • Grondslag;
  • Voldaan aan informatieplicht?;
  • Bijzondere categorieën persoonsgegevens;
  • Risicoklasse persoonsgegevens 0-III;
  • Is een DPIA verplicht & Is een DPIA uitgevoerd;
  • Verwerker & sub-verwerker;
  • Opmerking.

In de praktijk zie je dat bijna elke organisatie aanvullende aspecten opneemt in het register. Het opnemen van de juiste grondslag bij elke verwerking wordt het vaakst toegevoegd. Waar je in de privacyverklaring wel een koppeling moet maken tussen doel en grondslag hoeft dat in het register niet. Ook de Autoriteit Persoonsgegevens heeft aanvullend een kolom toegevoegd om de grondslag op te nemen.

Het verwerkingsregister van de AP is opgedeeld in 13 (bedrijfs-)onderdelen. In totaal zijn er 109 verwerkingen.

Verwerkingen op procesniveau

Wat opvalt is dat de AP de verwerkingen niet op een eenduidig niveau heeft opgenomen. Soms is dit op procesniveau en soms niet. Enkele voorbeelden van verwerkingen op procesniveau:

  • Registreren FG's in FG register;
  • ontvangstbevestiging aanmelding FG;
  • signaal van datalek beoordelen;
  • signaal van datalek uit de media beoordelen;
  • verzending op de zaak betrekking hebbende stukken naar de rechtbank;
  • contactpersonen op iPhones;
  • aantekeningen op whiteboard.

Enkele voorbeelden van verwerkingen die niet op procesniveau zijn opgenomen:

  • Internationaal samenwerken in EU-verband: WP29, toezicht politie en justitie en Europese Privacy
  • Conferentie (bijv. voorbereiding van opinies, standpunten en adviezen);
  • Wob-verzoeken behandelen (registratie, (schriftelijke) beoordeling, contact/communicatie);
  • werving en selectie;
  • beheren en controleren van personeels- en salarisadministratie.

Over het algemeen kan gesteld, worden dat de verwerkingen behoorlijk gedetailleerd zijn opgenomen. Wat opvalt is dat sommige verwerkingen best samengevoegd kunnen worden. Bijvoorbeeld ‘afhandelen inkomende post’ en ‘afhandelen uitgaande post’ zijn twee verschillende verwerkingen. Het enige verschil in de bijbehorende velden is dat bij de verwerking ‘afhandelen uitgaande post’ er een verwijzing is opgenomen naar artikel 6 lid 2 UAVG: de Autoriteit persoonsgegevens is de toezichthoudende autoriteit, bedoeld in artikel 51, eerste lid, van de verordening. De verwijzing naar dit artikel en de reden om genoemde verwerkingen op te splitsen is onduidelijk.

Het verwerkingsregister mag geen doel op zich zijn

Betrokkenen zijn er niet direct bij gebaat dat een organisaties een verwerkingsregister heeft. Een verwerkingsregister helpt bij het voldoen aan de AVG, het register is daarvoor een zogenaamde “spin in het web”. Zie bijvoorbeeld het register van de AP: hierin is optioneel de vraag gesteld of er per verwerkingsactiviteit voldaan is aan de informatieverplichting. Het opstellen van een privacyverklaring gebeurd meestal centraal, de verwerkingen daarentegen decentraal. Het register is de spin in het web: de verbindende factor op het gebied van privacy.

Het verwerkingsregister zal in de praktijk vaak een combinatie zijn van verwerkingen op procesniveau én verwerkingen op taakniveau. Als twee verwerkingen (inkomende post & uitgaande post) onder hetzelfde doel kunnen vallen (postverwerking) en de overige onderdelen van het register gelijk zijn, dan is samenvoegen logischer dan het als twee afzonderlijke verwerkingen opnemen. Aanvullende velden opnemen kan betekenen dat je verwerkingen moet opsplitsen. Neem als voorbeeld de verwerking: ‘werving en selectie’. Deze verwerking kan twee verschillende grondslagen hebben: noodzakelijk nakoming overeenkomst en toestemming. Door de verwerking werving en selectie op te splitsen kan je de verschillende grondslagen duidelijk weergeven indien dit als extra veld is opgenomen.

Invullen categorieën van persoonsgegevens niet altijd verplicht

Het invullen van categorieën van betrokkenen is voor de AP niet altijd mogelijk. Afhankelijk van de organisatie waar de AP onderzoek doet zal de AP verschillende categorieën van persoonsgegevens verwerken. Voor dergelijke verwerkingen heeft de AP geen categorieën van persoonsgegevens aangeduid. In plaats hiervan staat er ‘divers’ en bij de verwerking ‘back-up’ staat er ‘alle voorkomende categorieën in dit register’. Voor verwerkers zoals bijvoorbeeld een hostingpartij kan de praktische oplossing van de AP ook gebruikt worden voor de verwerkersovereenkomst. Het opnemen van de categorieën van betrokkenen is ook hier een verplichting. Hostingpartijen hanteren vaak hun eigen verwerkersovereenkomst en weten niet welke categorieën van persoonsgegevens ze van hun klanten verwerken. Aan te raden is om hier vooral praktisch mee op gaan.

Conclusie

De meeste verwerkingen die de AP heeft opgenomen in haar verwerkingsregister zijn op procesniveau. Het zijn concrete handelingen waarbij verschillende verwerkingsactiviteiten hetzelfde doel dienen. Soms zijn het handelingen die elkaar opvolgen en soms zijn het handelingen die simultaan lopen. Of de AP hetzelfde verwerkingsniveau verwacht van organisaties zal in de toekomst moeten blijken. Uiteindelijk heeft de rechter (Europese Hof) het laatste woord. Enige voorzichtigheid is hier dus wel op zijn plaats. Een praktische benadering is misschien wel de les die we kunnen leren van het verwerkingsregister van de AP: voeg kolommen toe indien dit wenselijk is en beoordeel per verwerking het juiste niveau. Het hebben van een verwerkingsregister mag geen doel op zich zijn.

Het verwerkingsregister van de AP heeft natuurlijk nog veel meer wetenswaardigheden en de door ons ontvangen versie kan hier worden gedownload voor eigen gebruik.

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect