Eén oplossing voor de vijf aanbevelingen van AP

De Autoriteit Persoonsgegevens publiceerde vandaag 5 aanbevelingspunten voor hoe organisaties een verwerkingsregister kunnen bijhouden.

De Autoriteit Persoonsgegevens heeft de afgelopen maanden steeksproefgewijs de verwerkings­registers van bedrijven onderzocht. UIt deze verzamelde data heeft de toezichthouder een lijst met adviespunten gepubliceerd, over hoe organisaties het beste hun verwerkingsregister kunnen opbouwen. Denk hierbij bijvoorbeeld aan bewaartermijnen, het oneindig bewaren van persoonsgegevens zonder enige motivering mag niet volgens de Europese privacywetgeving.

Aleid Wolfsen, voorzitter van de AP: ‘De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft.

Beginnen aan een goed gedocumenteerde verwerkingsregister om vervolgens het overzicht niet te verliezen, kan lastig zijn. AVG Cloud Register helpt hierin, zowel binnen de tooling als middels de mogelijkheid om samen te werken of op afstand te laten reviseren door een privacy consultant, Een gehele vragenlijst is onderverdeeld in secties, vragen bevatten toelichting als ook antwoord suggesties en zijn middels invulhulp steeds sneller in te vullen. Dit geldt tevens voor DPIA's en bijvoorbeeld datalekken. 

Voor een meer compleet beeld hoe de AVG Cloud Register-tooling een ideale oplossing is om met de aanbevelingen van de Autoriteit Persoonsgegevens te helpen, zetten we hun verwerkingsregister aanbevelingen op een rijtje:

1. Doel en bewaartermijn van persoonsgegevens

AP: Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.

Binnen AVG Cloud Register bieden wij kant-en-klare formulieren die je zelf kunt invullen met behulp van concrete suggesties, terwijl de AVG tooling leert van je ingevulde data. Binnen het verwerkingsregister dat je kunt aanmaken binnen de AVG software, hebben wij een uitgebreide lijst met zaken die je conform de AVG moet documenteren over de persoonsgegevens die je verwerkt. Denk hierbij aan het doel van de verwerking (bijvoorbeeld je loonadministratie of de contactformulieren op je website), bewaartermijnen, maatregelen die zijn getroffen om dit specifieke persoonsgegeven extra te beschermen en nog veel meer. Benieuwd naar hoe dit werkt? Hieronder hebben we het uitgelegd via video: 

2. Benoem contactgegevens verwerkings­verantwoordelijke

Eén van de invoer-secties binnen de AVG tooling van AVG Cloud Register, is specifiek gereserveerd voor verantwoordelijken. Hier kunnen tevens DPO's of andere privacy consultants worden opgenomen, waarbij specifiek kan worden aangegeven welk persoon eindverantwoordelijke is.

Dit hoeft bovendien maar eenmaal: AVG Cloud Register geeft ingevoerde waarden als invulhulp, om opvolgende registers, ongeacht als verwerker of verantwoordelijke, nog sneller in te vullen.

3. Draag zorg voor overzichtelijk en eenvoudig te navigeren register van verwerkingen

Dit is waar online tooling een groot voordeel over Excel biedt. Maak gebruik van een tool die helemaal is ingericht om jouw organisatie optimaal te helpen overzicht te houden in jullie AVG zaken. Vanuit het dashboard kun je gemakkelijk nieuwe registers aanmaken, mutaties bijhouden, nieuws lezen en de aanwezige documenten in de gaten houden. 

Daarnaast bieden wij per module de mogelijkheid onderlinge koppelingen te leggen. Heeft je verwerkingsregister een bepaalde verwerker toegevoegd gekregen? Upload en koppel dan de daar bijbehorende verwerkers­overeenkomst. 
Ook is er uiteraard een overzichtsveld per module, waarin ook gefilterd en gezocht kan worden. Nog beter wellicht is de omnisearch functie, die door je gehele AVG data zoekt naar de gegevens die jij zoekt. 

Alle gegevens daarna in 1x exporteren naar je eigen computer? Geen probleem, met 1 druk op de knop kun je al je gegevens ontvangen in een ZIP bestand. Liever per register een uitdraai in PDF, ook dit faciliteren wij in, inclusief beveiliging op dit bestand en een praktische inhoudsopgave. 

4. Specificeer locatie van bewaarde persoonsgegevens

AP: Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.

 Onze verwerkings­registers zijn ervoor gemaakt om als spil in je AVG -overzicht te fungeren. Noteer in de verschillende registers uw verschillende verwerkings­activiteiten. Noteer daarin de betrokken instanties, persoonsgegevens, locaties en doeleinden van die verwerking. 

Naderhand kunt je deze informatie hergebruiken voor de overige AVG zaken. Denk hierbij aan een datalek die is opgetreden in 1 van uw verwerkings­activiteiten, een verwerkers­overeenkomst die aan een specifieke handeling kan worden gekoppeld, een DPIA die noodzakelijk wordt geacht over een verwerking (omdat deze bijvoorbeeld veel bijzondere persoonsgegevens bevat) of een verzoek van een betrokkene om gebruik te maken van hun rechten.

Verzoeken van betrokkenen, of het nou een recht op inzage, recht op vergetelheid / verwijdering, recht op rectificatie of een ander verzoek betreft, kunnen ook worden genoteerd in AVG Cloud Register.

5. Leg relatie tussen doel en bijbehorende verwerking

Dit is waarom wij per activiteit vragen welke persoonsgegevens ermee gemoeid gaan. Dit is niet alleen verplicht vanuit de wet, dit is vooral voor het bedrijf en de privacy-officer van groot belang. Wanneer er in 1 oogopslag een duidelijk overzicht is van de verwerkingen en met welk doel ze worden bewaard, kan hier gemakkelijk op geacteerd worden. 

Aanvullend binnen onze AVG oplossing

Leg vervolgens koppelingen tussen eventuele datalekken en verwerkings­registers of bijvoorbeeld (inzage/vergetelheid) verzoeken en verwerkings­registers. Een DPO of andere consultant kan eenvoudig terug zien waar een datalek of verzoek gerelateerd aan is.

Elke entiteit, ongeacht register, datalek, DPIA of verzoeken, kunnen worden opengezet voor specifieke afdelingen of (sub)organisaties. Met die technische maatregel kan intern worden voorkomen dat andere afdelingen toegang krijgen tot informatie dat niet voor hen bestemd is.

Door gebruik te maken van de API die op elk entiteit van toepassing is, kan de AVG Cloud Register software eenvoudig geïntegreerd worden in eigen BI dashboards of intranets (bijvoorbeeld middels Single Sign On).

Wist u dat de AVG API documentatie automatisch wordt gegenereerd en op u wordt afgestemd indien ingelogd? Daarmee is integratie in een handomdraai geregeld.

Meer voorbeelden? 

Wil je meer weten over hoe AVG Cloud Register jouw organisatie tijdbesparend en juist kan helpen met de AVG? Neem dan contact met ons op. Meer informatie over hoe onze tooling werkt en wat het nog meer kan? 


Download Voorbeeld-register  Bekijk video-voorbeelden  Begin direct