Twee elementen van een praktische en bruikbare inventaris met privacy management software

‍Eén van de grootste verplichtingen die is geïntroduceerd met de nieuwe privacywetgeving (de AVG) is dat veel organisaties een register van alle persoonsgegevens die binnen hun organisatie worden verwerkt moeten gaan bijhouden. Het verzamelen van deze gegevens is op zichzelf al een flinke taak, maar het up-to-date houden en signaleren van risicovolle situaties is een nog grotere uitdaging.

Privacy managements software kan ondersteunen bij het aanleggen en bijhouden van een register door veelvoorkomende en herhalende taken te verminderen en te automatiseren. In deze blog willen we je allereerst wat informatie geven over de goede inrichting van je register: Wat voor gegevens heb je allemaal nodig? Daarnaast leggen we uit hoe je een data-inventarisatie makkelijker kan maken door een onderscheid aan te brengen tussen enerzijds informatie over de plek waar je data wordt opgeslagen en anderzijds de manier waarop de data vervolgens wordt verwerkt.

De AVG en het register van verwerkingsactiviteiten

De AVG vereist dat de meeste organisaties die persoonsgegevens verwerken al hun verwerkingsactiviteiten registreren. Artikel 30 van de AVG bevat een overzicht van de informatie die voor deze verwerkingsactiviteiten moet worden bijgehouden. De term ‘verwerkingsactiviteit’ wordt echter niet verder uitgelegd in de AVG, wat het detailniveau van het register enigszins in het midden laat. Dit betekent dat organisaties zelf kunnen bepalen hoe nauwkeurig ze willen zijn bij het registreren van hun verwerkingsactiviteiten, wat kan leiden tot veel vragen.

In het algemeen kan gesteld worden dat het register van verwerkingen informatie moet bevatten over welke persoonsgegevens door de organisatie worden opgeslagen en hoe deze persoonsgegevens worden gebruikt. Het aanbrengen van een onderscheid tussen systemen en verwerkingsactiviteiten binnen je organisatie kan het makkelijk maken om dit alles goed in kaart te brengen.

De systemen vertegenwoordigen hierbij alle plekken binnen de organisatie waar persoonsgegevens worden opgeslagen. Voorbeelden van systemen zijn applicaties en databases maar ook fysieke opslagsystemen zoals dossierkasten. Verwerkingsactiviteiten omvatten daarentegen alle manieren waarop persoonsgegevens op enige manier worden gebruikt in de organisatie. Voorbeelden van verwerkingen zijn de salarisadministratie, bepaalde bedrijfsanalyses, recruitment campagnes of het versturen van nieuwsbrieven. Data wordt vaak op één plek opgeslagen maar op meerdere manieren gebruikt, waarvan sommige manieren risicovoller of juist rechtmatiger zijn dan anderen. Door een kruisverband aan te leggen tussen systemen en verwerkingsactiviteiten kan jouw organisatie beter zicht krijgen op deze risico’s.

Software kan je helpen om alle systemen en verwerkingsactiviteiten die bestaan binnen jouw organisatie te inventariseren. Privacy management software kan dit voor je vereenvoudigen door je inventarisatieformulieren te bieden voor zowel systemen als verwerkingsactiviteiten met een vast format. Deze formulieren kunnen gebruikt worden als uitgangspunt voor de informatie die verzameld moet worden en geeft de gebruikers een duidelijk idee welke informatie zij moeten verstrekken.

Inventarisatie van systemen

In het algemeen zou een systeeminventarisatie informatie moeten bevatten over welke persoonsgegevens je hebt opgeslagen. Dit betreft informatie over de specifieke data die wordt opgeslagen maar ook over het soort opslag en de voorzorgsmaatregelen die zijn genomen. Daarbij moet informatie verzameld worden over de locatie van de opslag, wie er verantwoordelijke is voor deze opslag en welke beveiligingsmaatregelen er zijn getroffen om de gegevens te beschermen. Het kan handig zijn om te starten met het inventariseren van alle systemen binnen je organisatie zodat je hier gebruik van kan maken bij het inventariseren van de verwerkingen.

Inventarisatie van verwerkingen

Een inventarisatie van een verwerkingsactiviteit zou informatie moeten bevatten over wat je doet met de gegevens die je opslaat en moet in dat kader allereerst informatie uitvragen over de betrokken systemen, aangezien dit de bronnen zijn van de persoonsgegevens die worden verwerkt. Je moet weten wat voor persoonsgegevens worden gebruikt en opgeslagen in elk systeem. Daarnaast moet je informatie verzamelen over de wijze waarop de data wordt verwerkt. Dit betreft informatie als; het doel van de verwerking, de grondslag voor de verwerking, de rol van jouw organisatie in deze verwerking (ben je verantwoordelijke of verwerker?) en de bewaartermijn.

Door alle systemen en verwerkingen binnen je organisatie te inventariseren creëer je een totaalbeeld van alle data in jouw organisatie. Door de hier beschreven methode toe te passen krijg je ook een indicatie van de data die wel wordt verzameld en opgeslagen, maar vervolgens niet wordt verwerkt. Dit kan een indicatie zijn dat je deze data eigenlijk niet zou moeten hebben en mogelijk moet verwijderen of anonimiseren.

Het idee van een data-inventarisatie kan ontmoedigend zijn, maar het kan zeker makkelijker worden gemaakt door gebruik te maken van de beschikbare tools. Als je meer vragen het over data-inventarisaties of privacy management software, voel je dan vrij om contact met ons op te nemen. Meer weten over onze privacy management software Privacy Nexus, kijk dan op onze website.