Norm PR.03 Verwerkingsregister actualisatie
Waarom is dit nodig?
Met een nauwkeurig bijgewerkt en actueel verwerkingsregister heeft je school altijd een correct overzicht van de omvang en aard van de verwerking van persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres.. Met dit inzicht kun je per verwerkingsactiviteit de juiste maatregelen treffen. Zo verklein je het risico dat persoonsgegevens in verkeerde handen komen of onrechtmatig worden verwerkt. Wanneer zich toch incidenten voordoen, kun je met het actuele verwerkingsregister snel en adequaat optreden.
Volwassenheidsniveaus
We beschrijven hier 5 volwassenheidsniveaus. Om een digitaal veilige omgeving te creëren voor leerlingen en medewerkers moet je minimaal streven naar volwassenheidsniveau 3.
1 Ad hoc
- Er is geen duidelijke procedure voor het bijhouden van nieuwe en gewijzigde verwerkingen in het verwerkingsregister.
2 Herhaalbaar
- Er is een informele procedure voor het bijhouden van nieuwe en gewijzigde verwerkingen in het verwerkingsregister, maar deze wordt niet consequent toegepast.
- Het verwerkingsregister is niet up-to-date omdat wijzigingen in verwerkingen niet altijd tijdig in het verwerkingsregister worden opgenomen.
- De verantwoordelijkheden voor het bijhouden van het verwerkingsregister zijn toegewezen, maar worden niet actief opgepakt.
3 Bepaald (streefniveau)
- Er is een vastgestelde procedure die definieert hoe en wanneer nieuwe en gewijzigde verwerkingen in het verwerkingsregister worden opgenomen.
- Bij wijzigingen in een opgenomen verwerkingsactiviteit wordt opnieuw getoetst of de verwerking in overeenstemming is met de privacybeginselen van art. 5 lid 1 AVG.
- Er is vastgesteld met welke frequentie het verwerkingsregister wordt beoordeeld op volledigheid en actualiteit, en welke functionaris verantwoordelijk is voor deze beoordeling.
- Wijzigingen en nieuwe initiatieven waarbij persoonsgegevens worden verwerkt, worden direct in het register opgenomen.
4 Beheerst
Aanvullend op niveau 3:
- Het actueel houden van het verwerkingsregister is, waar van toepassing, volledig geïntegreerd in alle processen van de organisatie. Wijzigingen en nieuwe initiatieven waarbij persoonsgegevens worden verwerkt, worden direct in het register opgenomen.
5 Continu verbeteren
Aanvullend op niveau 3 en 4:
- De organisatie heeft een tool ingezet voor het bijhouden en auditen van het verwerkingsregister.
Aan de slag
Onderstaande maatregelen helpen je op weg naar volwassenheidsniveau 3. Let op: dit zijn voorbeelden van maatregelen. Het beveiligen van informatie en beschermen van privacy is maatwerk. Voor jouw school kunnen extra of andere maatregelen nodig zijn.
- Stel een procedure vast om het verwerkingsregister actueel te houden. Leg hierin in vast hoe en wanneer nieuwe en gewijzigde verwerkingen worden opgenomen.
- Stel in de procedure vast wie verantwoordelijk is om wijzigingen in gegevensverwerkingen te (laten) wijzigen in het register.
- Toets bij wijzigingen in het register of de verwerking in overeenstemming is met de privacybeginselen van art. 5 lid 1 AVG.
Hulpmiddelen
Gerelateerde wetten en normen
Norm PR.03 Verwerkingsregister actualisatie is gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG).