Uw organisatie voert verschillende types van gegevensverwerkingen uit. U bent uitlener en dat betekent dat u veel gevoelige of bijzondere persoonsgegevens van de uitzendkrachten, gedetacheerden of payrollkrachten verwerkt of laat verwerken. Denk aan BSN-nummers, bankrekeningnummers, nationaliteit, paspoorten, ziekmeldingen, etc. Het is belangrijk om inzicht te hebben in deze verschillende verwerkingen omdat u zeker moet weten dat u deze gegevens ook inderdaad mag gebruiken en waarvoor u ze vervolgens gebruikt. Dit doet u in het zogenaamde ‘register van de verwerkingsactiviteiten’ (hierna: register).
Breng de persoonsgegevens in kaart
U moet zorgvuldig in kaart brengen welke persoonsgegevens u bijhoudt, waar deze vandaan komen, met wie u deze deelt of hebt gedeeld en hoelang u ze mag bewaren. U moet dus verwerkingen in een actueel en volledig overzicht registreren en bijhouden. Per verzameling van persoonsgegevens (bijv. ingeschreven kandidaten, werkende kandidaten, zieke werknemers, etc.) moet de nodige informatie worden bijgehouden, zoals de grondslag, wie eventuele verwerkers zijn en hoe lang gegevens mogen worden bewaard. Hoe pakt u dit nu in de praktijk aan?
Vier stappen
In de eerste plaats zult u een passende vorm voor het register moeten kiezen. De meest praktische is een Word bestand of Excel sheet. Voor de gemiddelde organisatie zal dit ook voldoende zijn. Hoe groter de organisatie, of hoe meer verzamelingen bij diverse afdelingen liggen, hoe groter de behoefte aan gespecialiseerde tools.
In de tweede plaats moet u nagaan hoe u de volledigheid van het register kunt controleren. U kunt er niet van uitgaan dat iedereen uit zichzelf komt melden waar zich persoonsgegevens bevinden. Persoonsgegevens voor de flexkrachten zitten vaak in een ander systeem dan die van het interne personeel, maar correspondentie loopt vooral via de email en die bevat bewust of onbewust ook vaak (bijzondere) persoonsgegevens. Hoe vaak stuurt u niet even een loonstrook (nog steeds met BSN?) via de mail?
In de derde plaats moet u aangeven wie verantwoordelijk is voor het vullen van het register. Het maakt de AVG niet uit wie intern het register vult. Het is logisch om, zeker bij grotere organisaties, het register decentraal te laten vullen, bijvoorbeeld één aanspreekpunt bij HR, één aanspreekpunt bij ICT, één aanspreekpunt voor het uitzendproces, etc.
In de vierde en laatste plaats moet u nadenken over het borgen van de actualiteit van het register. Uw organisatie staat niet stil. De dag nadat uw organisatie met veel pijn en moeite versie 1.0 van het register heeft afgerond, is het waarschijnlijk alweer achterhaald. Het hebben van een register is niet een ‘projectje’ dat je kunt afronden, het leidt echt tot een permanente beheertaak. Nu de AVG binnenkort zijn derde verjaardag viert, wordt het hoog tijd alles weer even tegen het licht te houden.
Naast een register van verwerkingsactiviteiten zult u, van de verschillende soorten gegevensverwerkingen die u daarin hebt vastgelegd, ook de wettelijke grondslag moeten identificeren.
Wij helpen u
FlexKnowledge en VKA hebben samen een toolbox ontwikkeld, waarin alle noodzakelijke documenten zijn opgenomen. Dus ook de basis voor het register van verwerkingsactiviteiten. U kunt die zelf controleren, aanvullen en updaten, maar u kunt dat ook aan ons uitbesteden.
In het volgende artikel wordt ingegaan op de verwerkingsverantwoordelijke en de verwerker. Wisselt uw gegevens over cliënten uit in een netwerk met anderen? Heeft u met hen duidelijk afspraken gemaakt over beveiliging, geheimhouding, het melden van een datalek e.d.?