Deelproject 2.1 Opstellen verwerkingsregister

De AVG verplicht scholen om hun verwerkingsactiviteiten vast te leggen. Je kunt dit doen door het opstellen en bijhouden van een volledig en actueel verwerkingsregister. Het verwerkingsregister is een belangrijk middel bij het bewaken van de privacy van leerlingen en medewerkers en is onmisbaar bij het voldoen aan de verantwoordingsplicht.

Resultaat van dit deelproject

  • Er is een verwerkingsregister opgesteld dat up-to-date wordt gehouden.
  • Er is een proces opstellen en bijhouden verwerkingsregister vastgesteld en geïmplementeerd.

Wat is een verwerkingsregister?

Verwerk je persoonsgegevens? Dan moet je je niet alleen aan de regels van de AVG houden, maar ook daadwerkelijk laten zien dat je dat doet. Dat heet de verantwoordingsplicht. Een van de manieren om aan de verantwoordingsplicht te voldoen is het bijhouden van een register van verwerkingsactiviteiten, ook wel een verwerkingsregister. Dit is een verplicht document waarin je onder meer bijhoudt welke persoonsgegevens worden verwerkt, van wie die gegevens zijn, waarvoor ze worden gebruikt en wie er toegang toe heeft.

Belang van een verwerkingsregister

Scholen verwerken veel persoonsgegevens. Onder andere van leerlingen, ouders, verzorgers en medewerkers. Denk aan leerlingdossiers, medische gegevens (bijvoorbeeld over allergieën), financiële informatie (bijvoorbeeld ouderbijdragen) en beeldmateriaal (schoolfoto’s, video’s). Een verwerkingsregister helpt in kaart te brengen welke gegevens je allemaal verwerkt en om te beoordelen of dat ook is toegestaan. Je laat zo zien dat je zorgvuldig met persoonsgegevens omgaat. Door een systematische en regelmatige aanpak te hanteren bij het verwerken van persoonsgegevens, blijf je als school bovendien in controle over je gegevensverwerkingen en wordt de privacy van betrokkenen goed gewaarborgd.

Voordelen van een verwerkingsregister

Het verwerkingsregister is een handig hulpmiddel bij handelingen en activiteiten waarin er met persoonsgegevens wordt gewerkt.

  • Het helpt bij het opstellen van privacyverklaringen, uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA’s) en het beheersen van risico’s, zoals beveiligingsincidenten en datalekken.
  • Bij een incident helpt het register om snel te bepalen welke gegevens mogelijk zijn getroffen en welke herstelmaatregelen nodig zijn.
  • Het maakt het mogelijk om beter om te gaan met verzoeken van betrokkenen – zoals inzageverzoeken – omdat direct duidelijk is welke gegevens waar zijn opgeslagen.
  • Ook biedt het ondersteuning bij het monitoren van internationale gegevensdoorgifte. Worden persoonsgegevens overgedragen naar landen buiten de EU/EER? Dan kan je met hulp van het register aantonen hoe die overdracht verloopt en welke waarborgen zijn getroffen.

Wie doet wat

Bij het opstellen van een register van verwerkingsactiviteiten zijn verschillende rollen
betrokken met elk hun eigen taken:

  • De schooldirectie of schoolbestuur is meestal verwerkingsverantwoordelijke en is eindverantwoordelijk voor het verwerkingsregister en ziet erop toe dat een register van verwerkingsactiviteiten wordt opgesteld.
  • De proceseigenaar is verantwoordelijk voor een compleet register en het up-to-date ervan.
  • De ict-coördinator, privacy officer, IBP-verantwoordelijke en/of de informatiemanager ondersteunt, adviseert, coördineert en bewaakt de uitvoering.
  • De Functionaris Gegevensbescherming (FG) controleert periodiek de volledigheid en actualiteit van het register.

Aan de slag

Met het volgen van onderstaande stappen zorg je dat je een verwerkingsregister opstelt en bijhoudt voor jouw organisatie volgens de regels van de AVG.

1 Stel een proces op voor het bijhouden van verwerkingen

Leg in een procesbeschrijving vast hoe je binnen jouw school verwerkingen van persoonsgegevens bijhoudt. Je kunt hier voor het voorbeelddocument Proces opstellen en bijhouden verwerkingsregister (docx) gebruiken. Hierin kies je ook de vorm waar je het register in bij houdt.

2 Stel een register op

Voor het verwerkingsregister kun je de voorbeeldexcel Verwerkingsregister (xlsx) van Kennisnet gebruiken. Maar je kunt ook zelf een overzicht van alle gegevensverwerkingen op school maken. Het mag in Word, Excel of met speciale software. Zolang het duidelijk en makkelijk bij te werken is. Volgens de AVG moet het register in schriftelijke vorm bestaan, maar er worden geen eisen aan de vorm gesteld. Artikel 30 van de AVG stelt wel eisen aan de inhoud van het verwerkingsregister.

3 Train medewerkers

Leg aan medewerkers uit wat het register is en waarom het belangrijk is. Leer ze hoe ze wijzigingen moeten melden en geef regelmatig korte trainingen of herinneringen.

Houd het intern
Het verwerkingsregister is voor intern gebruik en hoeft alleen gedeeld te worden met de Autoriteit Persoonsgegevens als ze daarom vragen. Voor externe communicatie gebruik je de privacyverklaring op de schoolwebsite..

4 Valideer het verwerkingsregister en keur het goed

Als je alle gegevensverwerkingen hebt verzameld en vastgelegd in het register, controleer je of alles klopt. Dit doe je samen met de verantwoordelijken om te kijken of de informatie juist en volledig is. Je kijkt ook of het register voldoet aan de wettelijke eisen. Daarnaast bepaal je of extra onderzoek nodig is bij verwerkingen met een hoog risico, zoals een DPIA. Ook controleer je of er afspraken en contracten zijn met externe partijen. Na deze controles leg je het register voor aan de directie ter goedkeuring.

5 Leg verantwoordelijkheden vast

Spreek duidelijk af wie binnen de school verantwoordelijk is voor het invoeren, controleren en rapporteren van gegevens in het register.

6 Koppel met andere processen

Zorg dat het verwerkingsregister aansluit op andere processen, zoals DPIA’s en risicobeheer bij leveranciers. Zo blijven alle datastromen goed in beeld.

7 Houd het verwerkingsregister up-to-date

Plan vaste momenten voor controle en voer periodieke audits uit om na te gaan of het register nog compleet en actueel is, zeker bij verwerkingen met een hoog risico. Het verwerkingsregister is een levend document. Vraag actief aan afdelingen of er nieuwe verwerkingen zijn gestart of gestopt. Pas het register meteen aan als er iets verandert. Denk aan nieuwe software, een andere manier van gegevens delen of bij nieuwe verwerkingsdoelen. Stel een duidelijke procedure op voor het verwerken van wijzigingen en leg hierin vast wie wat moet doen.

Voorbeelddocumenten

Afdrukken

Op deze pagina