Privacy Friendly

Opinie

Weg met het aparte verwerkingsregister

12 juli 2019, 07:59

Artikel 30 van de AVG eist dat een verwerkingsverantwoordelijke een register bijhoudt van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. En dat is heel logisch. Om de overige artikelen van de AVG te kunnen naleven, moet je natuurlijk wel weten om welke gegevens het precies gaat. Veel organisaties leggen vanwege deze verplichting zo'n verwerkingsregister aan, gebruikmakend van zelf gemaakte Excelsheets tot aan specifiek daarvoor ontwikkelde tooling. En hoewel je met zo'n verwerkingsregister voldoet aan een van de vele eisen vanuit de AVG, is de vraag of het hebben van zo'n apart register de juiste aanpak is. Persoonsgegevens zijn namelijk niet het enige soort gegeven dat om goed beheer en om goede beveiliging vraagt. Ook voor andere vertrouwelijke bedrijfsinformatie geldt dat het goed zicht hebben erop noodzakelijk is om ze goed te kunnen beheren en beveiligen. Eigenlijk wil je als organisatie een centraal overzicht hebben van alle bedrijfsinformatie. Of iets een persoonsgegeven is en de verwerking daarvan dus onder de AVG valt, zou eigenlijk niet meer dan een attribuut van informatie in dat centrale overzicht moeten zijn.

Informatiebeveiliging, gegevensbescherming en informatiemanagement hebben veel gemeenschappelijk. Of het nou gaat om het beveiligen van informatie, het netjes en eerlijk verwerken van informatie of het beheren van informatie, het gaat in alle gevallen om hoe de organisatie omgaat met informatie. De CISO, de FG, de PO en de informatiemanager hebben te maken met veel dezelfde uitdagingen, zoals de directie het belang laten inzien van goed met informatie omgaan en de gewoontes en cultuur van de organisatie veranderen om verbeteringen in deze omgang in de praktijk te kunnen brengen. Deze losse vakgebieden kan je eigenlijk niet goed invullen zonder rekening te houden met de andere vakgebieden. We weten ondertussen dat je informatiebeveiliging nodig hebt om voor goede gegevensbescherming. Echter, goed ingericht informatiemanagement is daarvoor ook nodig. Het gaat in de praktijk namelijk niet werken om speciaal voor persoonsgegevens een aparte aanpak en omgang met informatie af te dwingen. Goede omgang met informatie moet integraal ingericht worden. Denk aan goede en betrouwbare opslag van informatie (voorkomen van datalek door kwijtraken), weet hebben van wat waar staat (nodig voor inzagerecht) of het weggooien van overbodig-geraakte informatie (minimale gegevensverwerking en recht op vergetelheid).

Gegevensbescherming kan dus alleen goed worden ingericht als dit gezamenlijk met informatiebeveiliging en informatiemanagement wordt aangepakt. Een periodiek overleg tussen deze vakgebieden is daarbij noodzakelijk. Het inwisselen van het aparte verwerkingsregister voor een organisatiebreed informatielandschapsoverzicht kan daarbij een mooie start zijn.

Frans Dondorp
12 juli 2019, 08:59
Ik zie vooral ook een parallel met verwijdering. Je kunt niet verwachten dat een organisatie gegevens verwijdert als de organisatie niet (exact) weet welke gegevens er zijn. De verplichting tot verwijdering volgt niet alleen uit de AVG voor persoonsgegevens, maar ook uit de Archiefwet (voor overheidsorganen). De plicht om inzicht te hebben in welke gegevens de organisatie heeft, is er dus niet alleen vanuit (persoons)gegevensbescherming, maar ook vanuit archivering en ook vanuit informatiebeveiliging.
Die overlap tussen gebieden zouden we optimaal moeten benutten en dat betekent inderdaad dat deze inventarisatie centraal zou moeten zijn.
Michiel Beijer
16 juli 2019, 18:25
Tja, eens. Als IT-beheer zijn zaakjes op orde had gehad, dan was een verwerkingsregister een kwestie van het toevoegen van een paar velden per systeem. Helaas begint het echter meestal met het doorspitten van servers en navragen bij afdelingen wat voor IT (en shadow-IT) er binnen de organisatie gebruikt wordt. Stap 2 is uitzoeken wat voor (persoons)gegevens het betreft, wat het doel van de verwerking is en vervolgens bedenken of en zo ja op basis van welke grondslag dat mag... Maar goed, in organisaties met een lage volwassenheid van IT-beheer zal ook deze uitdaging ad-hoc worden opgelost en ontstaat er een overzicht waarvan volledigheid, integriteit en actualiteit in twijfel getrokken mogen worden. En aangezien het een eenmalige actie is, zal dit ook wel zo blijven.