Norm PR.02 Verwerkingsregister opzet en vastlegging verwerkingen
Waarom is dit nodig?
Een volledig verwerkingsregister geeft je inzicht in de verwerking van alle persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. binnen de school. Met dit inzicht kun je per verwerkingsactiviteit de juiste maatregelen treffen. Dit vermindert de risico’s op ongeautoriseerde toegang, openbaarmaking van gevoelige informatie en onrechtmatige verwerking. Daarmee kan het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. aantonen dat het voldoet aan dit deel van de privacywetgeving.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen verwerkingsregister of er zijn geen verwerkingen bijgehouden.
- Wettelijk vereiste onderdelen, rollen voor verwerking (verwerkingsverantwoordelijkeDegene die het doel en de middelen bepaalt bij het verwerken van persoonsgegevens, zoals een schoolbestuur., verwerkerDegene of de organisatie die handelt in opdracht van de verwerkingsverantwoordelijke, zoals de leverancier van het leerlingadministratiesysteem. Deze mag alleen verwerkingen doen waarvoor hij uitdrukkelijk opdracht krijgt., gezamenlijke verwerkingsverantwoordelijken) en verwijzingen naar operationele processen zijn niet duidelijk of ontbreken.
2 Herhaalbaar
- Er is een (gedeeltelijk) ingevuld verwerkingsregister, maar niet alle wettelijk vereiste onderdelen zijn aanwezig.
- Voor (sommige) verwerkingen zijn de rollen voor verwerking niet duidelijk of niet gedocumenteerd.
- Niet alle verwerkingen zijn getoetst aan de privacybeginselen van art. 5 lid 1 AVG.
3 Bepaald (streefniveau)
- Het verwerkingsregister bevat minimaal alle wettelijk vereiste onderdelen (art. 30 lid 1 AVG voor de verwerkingsverantwoordelijke of voor de verwerker lid 2 AVG).
- Voor elke vastgelegde verwerking is duidelijk wie de verwerkingsverantwoordelijke, de verwerker of de gezamenlijke verwerkingsverantwoordelijken zijn.
- Tenminste alle verwerkingen met hoge risico’s zijn vastgelegd en getoetst aan de privacy beginselen van art. 5 lid 1 AVG.
4 Beheerst
Aanvullend op niveau 3:
- Alle verwerkingen zijn vastgelegd.
- Indien de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. (AP) inzicht in het verwerkingsregister vraagt, kan dit op eenvoudige wijze worden voorgelegd.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- Het verwerkingsregister wordt actief gebruikt voor risicobeheer en besluitvorming. Het is niet alleen een database voor naleving, maar een belangrijk instrument voor de privacy cultuur binnen de organisatie.
- In het verwerkingsregister staan verwijzingen naar uitgevoerde (pre-)DPIA’s, verwerkersovereenkomsten en andere relevante overeenkomsten.
- Het register bevat volledige en actuele verwijzingen naar alle operationele processen waarbinnen persoonsgegevens worden verwerkt.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Houd een verwerkingsregister bij en neem daarin alle processen op waarin persoonsgegevens worden verwerkt. Zorg ervoor dat het register voldoet aan alle wettelijk vereiste onderdelen (art. 30 lid 1 en 2 AVG).
- Leg in het register de naam of namen vast van de (gezamenlijk) verwerkingsverantwoordelijke of verwerker (leverancier) van elke verwerking.
- Toets verwerkingen met een hoog risico aan de privacybeginselen van art. 5 lid 1 AVG.
Hulpmiddelen
Gerelateerde wetten en normen
Norm PR.02 Verwerkingsregister opzet en vastlegging verwerkingen is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).