Privacy, de fundamenten: Verwerkingsregister

Show Notes

​Wat is een verwerkingsregister? Wat is functie van het register tijdens een incident? En wat is hierbij de rol van de Autoriteit Persoonsgegevens en de privacy professional? In deze aflevering wordt hierop ingegaan door Sulaika Mahangi, Chief Privacy Officer bij het ministerie van Infrastructuur en Waterstaat.

Deze serie is mede mogelijk gemaakt door CIO Rijk.

Transcript

Walter van Wijk: Dit is een podcast van het CIP, Centrum voor Informatiebeveiliging en Privacybescherming. Deze podcast is onderdeel van een serie met als titel 'Privacy, de fundamenten'. In deze aflevering gaan we in op het verwerkingsregister. Bij ons te gast is Sulaika Mahangi, Chief Privacy Officer bij het ministerie van IenW. Kun je omschrijven wat een verwerkingsregister is?

Sulaika Mahangi: Een verwerkingsregister is een register waarin is opgenomen welke persoonsgegevens door de organisatie worden verwerkt, wat het doel is en om welke categorieën het gaat. Even voor de duidelijkheid: het gaat er niet om dat je de persoonsgegevens zelf daarin noteert, maar het gaat om de categorieën van de persoonsgegevens die je verwerkt. Je wil daar ook in zien of die gegevens gedeeld worden met andere organisaties, of het gaat om strafrechtelijke, gewone gegevens of gevoelige gegevens. Deze zaken maakt dat je transparant bent over welke persoonsgegevens er verwerkt worden. Daar zit het hem al, het woordje transparantie. Transparant naar zowel je organisatie toe: waar zijn we precies mee bezig? Welke persoonsgegevens verwerken we daarvoor?

Sulaika Mahangi: Maar vooral die transparantie naar die betrokkenen van wie die persoonsgegevens zijn. Wat daarmee inzichtelijk is en dat op het moment dat zo'n betrokkene zich ook beroept op een van de rechten van de AVG, meteen gekeken kan worden of die persoon zich heeft aangemeld. Je hebt je hele proces doorlopen om te verifiëren of het om die persoon gaat. En dan of daadwerkelijk gegevens van die persoon verwerkt worden en waar ze verwerkt worden. Als dan nog verder een beroep wordt gedaan op een ander recht, kan je ook kijken of er gehoor gegeven wordt aan dat recht waar een beroep op gedaan wordt. Dus het is aan de ene kant voor de organisatie om grip te hebben op de persoonsgegevens die verwerkt worden door de organisatie. Het is anderzijds om te voldoen aan je transparantieplicht als organisatie richting de betrokkenen om inzichtelijk te maken welke persoonsgegevens verwerkt worden voor welk doeleinde.

Walter van Wijk: Dat klinkt alsof het een openbaar register is. Waar wordt zo'n register over het algemeen door een organisatie gepubliceerd?

Sulaika Mahangi: Zo'n register kan je linken aan je pagina. Je kan er ook een aparte pagina voor in het leven roepen waar je het register neerzet. Het is een openbaar register. Dat betekent dus dat die geraadpleegd kan worden door betrokkenen, door de burger in het algemeen. Daar zit wel nog een vraag voor, namelijk of je iets op het openbaar register moet opnemen. In die vraag heb je beleidsvrijheid. Er zijn bepaalde systemen, producten, misschien beleid waarvoor persoonsgegevens verwerkt worden, maar die je niet helemaal openbaar wil maken, omdat daar misschien ook rechten van anderen bij betrokken zijn die je niet wil schenden, die je niet mag schenden zelfs. Dat kan een afweging zijn om te zeggen: deze verwerking van persoonsgegevens hebben we wel geregistreerd in het register van verwerkingen, maar die gaan we niet openbaar maken.

Sulaika Mahangi: Die gaan we niet publiceren op een externe website die we hebben of een extern register dat geraadpleegd kan worden. Voor de rijksoverheid is dat bijvoorbeeld het AVG-register.

Walter van Wijk: Dan zeg jij dat dit te maken heeft met transparantie. Je toont aan je medewerkers, de organisatie en aan betrokkenen wat je doet. Doet de Autoriteit Persoonsgegevens ook nog iets met zo'n verwerkingsregister? Zo ja, in wat voor situatie gebeurt dat dan?

Sulaika Mahangi: Jazeker. De Autoriteit Persoonsgegevens kan het register zelf ook raadplegen en kan steekproefsgewijs kijken wat er zoal verwerkt wordt aan persoonsgegevens. Zo'n register van verwerkingen is voor een Autoriteit Persoonsgegevens een indicatie in hoeverre de AVG nageleefd wordt. Als er heel weinig persoonsgegevens zijn opgenomen in het register van verwerkingen, kan het zijn dat het voor de organisatie zelf dus niet inzichtelijk is en het misschien schort aan de privacy governance binnen de organisatie. Een register van verwerkingen kan je ook zien als een startpunt voor het hele privacy landschap binnen een organisatie, omdat uit een register van verwerkingen ook blijkt of bijvoorbeeld een DPIA gedaan is of er maatregelen zijn genomen. Het is voor een Autoriteit Persoonsgegevens of een andersoortige toezichthouder een bron.

Walter van Wijk: Speelt dit verwerkingsregister ook nog een rol als er een incident speelt rondom persoonsgegevens?

Sulaika Mahangi: Tuurlijk, het register van verwerkingen speelt een rol of kan een rol spelen bij een incident. Op het moment dat er een incident is, kan er naar gegrepen worden om te kijken welke persoonsgegevens verwerkt worden, wie de eigenaar is van het proces van verwerken van die persoonsgegevens, zodat er ook met de juiste personen in de organisatie geschakeld kan worden. Het kan dienen als een bepaald vertrekpunt. Stel dat er persoonsgegevens gelekt zijn die niet in het register zijn opgenomen, zijn er ook bepaalde vragen die je binnen je organisatie kan gaan stellen en dus ook bepaalde processen die je onder het vergrootglas kan leggen.

Walter van Wijk: Tot slot even over dit onderwerp: wat is de rol van een privacy professional en privacy officer bij het register?

Sulaika Mahangi: Sowieso wil je niet dat Jan en alleman in een register schrijft. Even heel praktisch bekeken weer: wie heeft er toegang tot welk systeem? Wie kan er bij? Het register van verwerkingen is een systeem waar je niet wil dat ongeautoriseerde personen toegang toe hebben. Als privacy professional is het belangrijk dat jij in elk geval de toegang hebt om dat register te bewerken en kijkt wat er in komt. Dat betekent dat je in gesprek moet met je organisatie om te kijken welke gegevens er verwerkt worden, welke in het register opgenomen moeten worden, maar ook of hij actueel en volledig is. Je kan wel een register hebben, maar het register moet ook bijgehouden worden en daar heb je als privacy professional ook een rol.

Walter van Wijk: Beluister ook de andere afleveringen waarin we onder meer aandacht besteden aan: wat is de definitie van persoonsgegevens? Wat is een verwerkingsverantwoordelijke? Wat is een DPIA ? Hoe ga je om met datalekken, inzagerecht en nog veel meer? Deze serie is geproduceerd door CIP, Centrum Informatiebeveiliging en Privacybescherming en werd mede mogelijk gemaakt door CIO Rijk.

Walter van Wijk: Je luisterde naar een podcast van het CIP. Wij ontwikkelen en delen kennis op het gebied van informatieveiligheid. Meer daarover kun je vinden op onze website cip-overheid.nl. Tot de volgende keer!