31 Maart 2020

Het verwerkingsregister van de Autoriteit Persoonsgegevens deel II

AP

In de zomer van 2019 schreven wij een artikel over het verwerkingsregister van de Autoriteit Persoonsgegevens (hierna: AP), link. We hadden het verwerkingsregister opgevraagd om meer duidelijkheid te krijgen over de interpretatie van de AVG door de AP zelf. Onlangs hebben we nogmaals het register opgevraagd. Dit om te kijken in hoeverre het register aan wijzigingen onderhevig is.

Gewijzigde template

Wat gelijk opvalt is dat de onderdelen en opmaak van het register in zijn geheel is gewijzigd. De AP had bij de vorige versie van het register gebruik gemaakt van de template van de Belgische toezichthouder, link. Het lijkt er op dat de AP bij de huidige versie hier geen gebruik van heeft gemaakt. Het huidige register bevat een stuk minder velden die per verwerking ingevuld kunnen/moeten worden. Naast de verplichte onderdelen uit artikel 30 Algemene verordening gegevensbescherming (hierna: AVG) is enkel de grondslag als extra veld opgenomen. Het optionele veld (de AVG gebruikt de woorden ‘indien mogelijk’) omtrent de genomen technische en organisatorische maatregelen heeft de AP niet opgenomen. De AP heeft hiervoor in de plaats een opmerkingenveld opgenomen waarin wordt verwezen naar het Privacybeleid, link. Omdat er geen sprake is van internationale doorgifte van persoonsgegevens heeft de AP ook dit als opmerkingen opgenomen.

Inhoudelijk

Ook inhoudelijk is het register significant gewijzigd. Of beter gezegd: volgens mij is de AP opnieuw begonnen. Een vergelijking tussen beide registers levert geen verwerkingen op die één op één zijn overgenomen. Het aantal (bedrijfs-)onderdelen is gewijzigd van 13 naar 5. Ook het aantal verwerkingen is gereduceerd: van 109 naar 86. De 86 verwerkingen zijn verdeeld over 60 (wettelijke) taken.

In de eerste versie van het register waren de verwerkingen een combinatie van verwerkingen op procesniveau en op taakniveau. Het huidige register is opgebouwd vanuit de (wettelijke) taak van de Autoriteit Persoonsgegevens. Verwerkingen als ‘contactpersonen op iPhones’ zien we niet meer terug. De (wettelijke) taak van de AP kan qua verwerking van persoonsgegevens heel eenvoudig/duidelijk zijn (bijna op procesniveau) en soms is de verwerking van persoonsgegevens meer algemeen.

Voorbeelden van specifieke taken zijn:

  • Opstellen van beleidsregels: contact onderhouden met de redactie Staatscourant.
  • Opvragen register van verwerkingsactiviteiten: contact onderhouden met verwerkingsverantwoordelijke / verwerkers.
  • Vaststellen of sprake is van een personeelslid van de AP i.v.m. UWV-declaraties, het controleren afrekening van UWV-declaraties.

Taken die meer algemeen geformuleerd zijn:

  • Personeels- en salarisadministratie: uitvoering geven aan arbeidsovereenkomst, administratieplicht fiscale wetgeving.
  • Contact onderhouden met indieners en EU-collega's.
  • Uitoefenen onderzoeksbevoegdheden en uitvoeren verkennende onderzoeken.

Al met al is de kwaliteit van het register naar mijn mening sterk verbeterd. Het is voor mij nu veel duidelijker welke taken de AP heeft, welke doeleinden hieraan gekoppeld zijn en welke persoonsgegevens hiervoor worden verwerkt.

Wat kunnen we leren van het register van de AP?

Een vijftal aspecten waar mijns inziens we lering uit kunnen trekken:

1. Ga praktisch om met het invullen van de categorieën van persoonsgegevens indien dit niet te bepalen is: alle mogelijke categorieën bijzondere persoonsgegevens, beschrijving kwestie.

2. Cluster verwerkingen zodat er een samenhang ontstaat. Zo heeft de AP bij enkele taken meerdere verwerkingen opgenomen. Bijvoorbeeld de taak ‘fungeren als contactpunt FG's’ heeft als verwerkingen:

a. Organiseren van congressen en bijeenkomsten voor FG's;
b. schriftelijk en telefonisch advies aan FG's;
c. bijhouden van register van FG's;
d. versturen nieuwsbrief voor FG's.

3. Neem de grondslag als extra veld op in het register. En indien een verwerking meerdere doeleinden heeft, specifieer op welke deelverwerking de grondslag betrekking heeft.

4. Kies een eenduidig perspectief om het register op te stellen. De AP heeft zich laten leiden door haar voornamelijk wettelijke taken en dit onderverdeeld in vijf (bedrijfs-)onderdelen.

5. De AP heeft (slechts?) acht verwerkingen voor bedrijfsvoering. Dit aantal geeft inzicht in het aantal verwerkingen dat een gemiddelde MKB-organisatie op het gebied van HRM heeft.

Foutje

Het lijkt er op dat er nog wel een foutje in het verwerkingsregister is geslopen. Bij de verwerking ‘contractmanagement, het onderhouden van contact met IT-leveranciers’ is als grondslag ‘nakoming van de overeenkomst’ opgenomen. Deze grondslag kan echter alleen worden gebruikt als de betrokkene zelfstandig contractspartij is. In artikel 6 lid 1 sub b AVG staat het volgende: de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen. De betrokkenen in deze verwerking zijn medewerkers van de IT-dienstverleners van de AP. IT-contracten worden gesloten tussen twee rechtspersonen, de medewerkers van deze rechtspersonen zijn geen betrokken partij in deze overeenkomst. De juiste grondslag voor deze verwerking is artikel 6 lid 1 sub f: de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke. De grondslag nakoming overeenkomst kan wel gebruikt worden indien de IT-dienstverlener een zelfstandige is. Het is niet aannemelijk dat in casu hier sprake van is.

Conclusie

Ik ben van mening dat het register van de AP sterk is verbeterd. Het bevat een duidelijk overzicht van alle (wettelijke)taken van de AP en de persoonsgegevens die hierin worden verwerkt. Het opstellen van een juist en volledig verwerkingsregister is een lastige opgave. We zijn in 2018 allemaal vol enthousiasme begonnen aan het opstellen van het verwerkingsregister om de deadline van 25 mei 2018 te halen, we hebben veel geleerd en zijn ondertussen mogelijk tot de conclusie gekomen dat de kwaliteit sterk verbeterd kan worden. Dit is niet erg, we hebben het allemaal moeten leren, ook de AP. Zoals ik ook in mijn vorige blog heb geschreven, mag het hebben van een verwerkingsregister geen doel op zich zijn, het verwerkingsregister moet juist de organisatie helpen om de volgende stap te zetten in de bescherming van persoonsgegevens.

Het verwerkingsregister van de AP kan hier gedownload worden. Het oude register is hier te downloaden.

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo RoutIT - referentie RoutIT - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect