Autoriteit Persoonsgegevens doet aanbevelingen over verwerkingsregister
De Autoriteit Persoonsgegevens (AP) heeft op 28 november jl. vijf aanbevelingen op haar website gepubliceerd over het verwerkingsregister dat op grond van art. 30 AVG moet worden bijgehouden. Deze aanbevelingen zijn een resultaat van een verkennend onderzoek dat de AP heeft gehouden onder dertig grote organisaties uit tien private sectoren.
De Autoriteit Persoonsgegevens (AP) heeft op 28 november jl. vijf aanbevelingen op haar website gepubliceerd over het verwerkingsregister dat op grond van art. 30 AVG moet worden bijgehouden. Deze aanbevelingen zijn een resultaat van een verkennend onderzoek dat de AP heeft gehouden onder dertig grote organisaties uit tien private sectoren.
De AP doet de volgende aanbevelingen:
- Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
- Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
- Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
- Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
- Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
Met deze aanbevelingen geeft de AP een vedere inkleuring van art. 30 AVG rekening houdend met de verantwoordingsplicht die ook blijkt uit de overweging 82 bij de AVG. Staan er opvallende zaken tussen? Ja, de AP lijkt aan te sturen op een minder vrijblijvende invulling van enkele zaken. Zo noemt de AP als eerste dat je in het verwerkingsregister benoemt hoelang je persoonsgegevens wil bewaren, terwijl art.30 AVG lid 1 onder f aangeeft dat bewaartermijnen alleen ‘indien mogelijk’ vermeld dienen te worden. In het derde punt noemt de AP het gebruiken van een “overzichtelijk bestand”. Hiermee lijkt te worden aangestuurd op een elektronische vastlegging terwijl art. 30 lid 3 AVG ook spreekt over “schriftelijke vorm”. In het laatste punt kiest de AP, waar het gaat om het verwerkingsregister, voor de expliciete registratie van het doel per verwerking. Dus niet eenvoudigweg een opsomming van de verwerking per afdeling met daarbij een lijst van doeleinden. Ook hier weer een wat stringentere invulling door de AP.
Aleid Wolfsen, de voorzitter van de AP, ziet de kwaliteit van het verwerkingsregister als een graadmeter voor de manier waarop een organisatie de AVG naleeft.
De kwaliteit van het register van verwerkingen is voor de AP een goede peilstok. Voldoet dat register? Dan geeft dat een indruk hoe een organisatie de nieuwe Europese privacyregels naleeft.