Weet u welke gegevens u verwerkt en mag u die gegevens eigenlijk wel hebben?
Artikel 3 in de reeks over de nieuwsberichten over de belangrijkste thema’s van de AVG.
Uw organisatie voert verschillende types van gegevensverwerkingen uit. De leden van Sociaal Werk Nederland zijn vooral sociaalwerkorganisaties. Grote kans dat u dus gegevens over cliënten in een dossier bewaart, dat vrijwilligers gegevens van cliënten bewerken of dat u gegevens over uw eigen medewerkers deelt met een extern (loon)administratiekantoor. Het is belangrijk om inzicht te hebben in deze verschillende verwerkingen, omdat u zeker moet weten dat u deze gegevens mag gebruiken. Dit doet u in het zogenaamde ‘register van de verwerkingsactiviteiten’ (hierna: register).
U moet zorgvuldig in kaart brengen welke persoonsgegevens u bijhoudt, waar deze vandaan komen en met wie u deze hebt gedeeld. U moet dus verwerkingen in een actueel en volledig overzicht registreren en bijhouden. Per verzameling van persoonsgegevens moet de nodige informatie worden bijgehouden, zoals de grondslag, wie eventuele verwerkers zijn en hoe lang gegevens mogen worden bewaard. Hoe pakt u dit nu in de praktijk aan?
In de eerste plaats moet u een passende vorm voor het register kiezen. De meest praktische is een Wordbestand of Excelsheet. Voor de gemiddelde organisatie zal dit ook voldoende zijn. Hoe groter de organisatie, of hoe meer verzamelingen bij diverse afdelingen liggen, hoe groter de behoefte aan gespecialiseerde tools.
In de tweede plaats moet u nagaan hoe u de volledigheid van het register kunt controleren. U kunt er niet van uitgaan dat iedereen uit zichzelf komt melden waar zich persoonsgegevens bevinden. Persoonsgegevens bevinden zich vaak bij bijvoorbeeld Personeelszaken (werving & selectie, arbeidsgerelateerde administraties), ICT (smoelenboek, active directory, ICT servicedesk) en Facilitair Management (camera’s, klachtenafhandeling, bezoekersregistratie).
In de derde plaats zult u moeten aangeven wie verantwoordelijk is voor het vullen van het register. Het maakt de AVG niet uit wie intern het register vult. Het is logisch om, zeker bij grotere organisaties, het register decentraal te laten vullen (bijvoorbeeld één aanspreekpunt bij HR, één aanspreekpunt bij ICT, één aanspreekpunt binnen primair proces A, etcetera).
In de vierde en laatste plaats moet u nadenken over hoe u de actualiteit van het register kunt waarborgen. Uw organisatie staat niet stil. De dag nadat uw organisatie met veel pijn en moeite versie 1.0 van het register heeft afgerond, is het waarschijnlijk alweer achterhaald. Het hebben van een register is niet een ‘projectje’ dat je kunt afronden, het leidt echt tot een permanente beheertaak.
Naast een register van verwerkingsactiviteiten zult u, van de verschillende soorten gegevensverwerkingen die u daarin hebt vastgelegd, ook de wettelijke grondslag moeten identificeren. Ga hierover desnoods in overleg met een jurist, het is immers een zeer specialistische taak.
In het volgende artikel wordt ingegaan op de verwerkingsverantwoordelijke en de verwerker. Wisselt u gegevens over cliënten uit in een netwerk met anderen? Heeft u met hen duidelijk afspraken gemaakt over beveiliging, geheimhouding, het melden van een datalek e.d.?