Het verwerkingsregister van de Autoriteit Persoonsgegevens

06-04-2020

In de zomer van 2019 schreef ik een artikel over het verwerkingsregister van de Autoriteit Persoonsgegevens.(1) Ik had het verwerkingsregister opgevraagd om meer duidelijkheid te krijgen over de interpretatie van de Algemene verordening gegevensbescherming door de privacytoezichthouder zelf. Onlangs heb ik het register nogmaals opgevraagd. Dit om te kijken in hoeverre het register aan wijzigingen onderhevig is.

Gewijzigde template

Wat gelijk opvalt is dat de onderdelen en opmaak van het register in zijn geheel is gewijzigd. De Autoriteit Persoonsgegevens (AP) had bij de vorige versie van het register gebruik gemaakt van de template van de Belgische toezichthouder.(2) Het lijkt er op dat de AP bij de huidige versie hier geen gebruik van heeft gemaakt. Het huidige register bevat een stuk minder velden die per verwerking ingevuld kunnen/moeten worden. Naast de verplichte onderdelen uit artikel 30 Algemene verordening gegevensbescherming (AVG) is enkel de grondslag als extra veld opgenomen. Het optionele veld (de AVG gebruikt de woorden ‘indien mogelijk’) omtrent de genomen technische en organisatorische maatregelen heeft de AP niet opgenomen. De AP heeft hiervoor in de plaats een opmerkingenveld opgenomen waarin wordt verwezen naar het Privacybeleid.(3) Omdat er geen sprake is van internationale doorgifte van persoonsgegevens heeft de AP ook dit als opmerkingen opgenomen.

Inhoudelijk

Ook inhoudelijk is het register significant gewijzigd. Of beter gezegd: volgens mij is de AP opnieuw begonnen. Een vergelijking tussen beide registers levert geen verwerkingen op die een-op-een zijn overgenomen. Het aantal (bedrijfs-)onderdelen is gewijzigd van 13 naar 5. Ook het aantal verwerkingen is gereduceerd: van 109 naar 86. De 86 verwerkingen zijn verdeeld over 60 (wettelijke) taken.

In de eerste versie van het register waren de verwerkingen een combinatie van verwerkingen op procesniveau en op taakniveau. Het huidige register is opgebouwd vanuit de (wettelijke) taak van de AP. Verwerkingen als ‘contactpersonen op iPhones’ zien we niet meer terug. De (wettelijke) taak van de AP kan qua verwerking van persoonsgegevens heel eenvoudig/duidelijk zijn (bijna op procesniveau) en soms is de verwerking van persoonsgegevens meer algemeen.

Voorbeelden van specifieke taken zijn:

  • Opstellen van beleidsregels: contact onderhouden met de redactie Staatscourant.
  • Opvragen register van verwerkingsactiviteiten: contact onderhouden met verwerkingsverantwoordelijke / verwerkers.
  • Vaststellen of sprake is van een personeelslid van de AP i.v.m. UWV-declaraties, het controleren afrekening van UWV-declaraties.

Taken die meer algemeen geformuleerd zijn:

  • Personeels- en salarisadministratie: uitvoering geven aan arbeidsovereenkomst, administratieplicht fiscale wetgeving.
  • Contact onderhouden met indieners en EU-collega's.
  • Uitoefenen onderzoeksbevoegdheden en uitvoeren verkennende onderzoeken.

Al met al is de kwaliteit van het register naar mijn mening sterk verbeterd. Het is voor mij nu veel duidelijker welke taken de AP heeft, welke doeleinden hieraan gekoppeld zijn en welke persoonsgegevens hiervoor worden verwerkt.

Wat kunnen we leren van het register van de AP?

Een vijftal aspecten waar we mijns inziens lering uit kunnen trekken:

  1. Ga praktisch om met het invullen van de categorieën van persoonsgegevens indien dit niet te bepalen is: alle mogelijke categorieën bijzondere persoonsgegevens, beschrijving kwestie.
  2. Cluster verwerkingen zodat er een samenhang ontstaat. Zo heeft de AP bij enkele taken meerdere verwerkingen opgenomen. Bijvoorbeeld de taak ‘fungeren als contactpunt FG'sheeft als verwerkingen:
    1. Organiseren van congressen en bijeenkomsten voor FG's;
    2. schriftelijk en telefonisch advies aan FG's;
    3. bijhouden van register van FG's;
    4. versturen nieuwsbrief voor FG's.
  3. Neem de grondslag als extra veld op in het register. En indien een verwerking meerdere doeleinden heeft, specificeer dan op welke deelverwerking de grondslag betrekking heeft.
  4. Kies een eenduidig perspectief om het register op te stellen. De AP heeft zich laten leiden door haar voornamelijk wettelijke taken en dit onderverdeeld in vijf (bedrijfs-)onderdelen.
  5. De AP heeft (slechts?) acht verwerkingen voor bedrijfsvoering. Dit aantal geeft inzicht in het aantal verwerkingen dat een gemiddelde MKB-organisatie op het gebied van HRM heeft.

Foutje

Het lijkt er op dat er nog wel een foutje in het verwerkingsregister is geslopen. Bij de verwerking contractmanagement, het onderhouden van contact met IT-leveranciersis als grondslag ‘nakoming van de overeenkomst opgenomen. Deze grondslag kan echter alleen worden gebruikt als de betrokkene zelfstandig contractspartij is. In artikel 6 lid 1 sub b AVG staat het volgende: “De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.” De betrokkenen in deze verwerking zijn medewerkers van de IT-dienstverleners van de AP. IT-contracten worden gesloten tussen twee rechtspersonen, de medewerkers van deze rechtspersonen zijn geen betrokken partij in deze overeenkomst. De juiste grondslag voor deze verwerking is artikel 6 lid 1 sub f: “De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke.” De grondslag 'nakoming overeenkomst' kan wel gebruikt worden indien de IT-dienstverlener een zelfstandige is. Het is niet aannemelijk dat hier in casu sprake van is.

Conclusie

Ik ben van mening dat het register van de AP sterk is verbeterd. Het bevat een duidelijk overzicht van alle (wettelijke) taken van de AP en de persoonsgegevens die hierin worden verwerkt. Het opstellen van een juist en volledig verwerkingsregister is een lastige opgave. We zijn in 2018 allemaal vol enthousiasme begonnen aan het opstellen van het verwerkingsregister om de deadline van 25 mei 2018 te halen, we hebben veel geleerd en zijn ondertussen mogelijk tot de conclusie gekomen dat de kwaliteit sterk verbeterd kan worden. Dit is niet erg, we hebben het allemaal moeten leren, ook de AP. Zoals ik ook in mijn vorige blog heb geschreven, mag het hebben van een verwerkingsregister geen doel op zich zijn, het verwerkingsregister moet juist de organisatie helpen om de volgende stap te zetten in de bescherming van persoonsgegevens.

Bekijk het huidige verwerkingsregister van de AP

Bekijk het oude verwerkingsregister van de AP

Voetnoten

(1) https://www.auditconnect.nl/nl/overons/Nieuws/201906/verwerkingsregister-autoriteit/

(2) https://www.gegevensbeschermingsautoriteit.be/model-voor-een-register-van-de-verwerkingsactiviteiten

(3) /cms/files/2020-04/privacybeleid-ap-okt-2019.pdf


Dit artikel is ook te vinden in de dossiers Verantwoordingsplicht en AVG

Van onze partners

Privacy op de werkvloer

→ Lees meer

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
Hanna Rab (junior uitgever) informeert u graag over de mogelijkheden. Zij is te bereiken via tel. 020 - 8200 908 en e-mail hanna@berghauserpont.nl.

Masterclass Privacy: the next step

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer