Register van verwerkingsactiviteiten

Als je persoonsgegevens verwerkt moet je je niet alleen aan de regels van de Algemene Verordening Gegevensbescherming (AVG) houden. Je moet ook laten zien dat je dat doet. Dat heet de verantwoordingsplicht. Een van de manieren om aan de verantwoordingsplicht te voldoen is het bijhouden van een register van de verwerkingsactiviteiten. Hierin leg je vast welke persoonsgegevens je verwerkt. Het gaat hierbij om persoonsgegevens die je zelf verwerkt en om persoonsgegevens die in jouw opdracht worden verwerkt door bijvoorbeeld de leverancier van een leerlingadministratiesysteem.

In het register hou je bij wat voor soort persoonsgegevens je verwerkt, van wie je dat doet en waarom. De Autoriteit Persoonsgegevens kan altijd vragen om jouw register in te zien. Dat moet dan actueel en compleet zijn.

Is het wettelijk verplicht?

Het bijhouden van een register van verwerkingsactiviteiten is verplicht vanuit de AVG.

Meer informatie vind je in artikel 30 van de AVG.

Wie doet wat?

In het overzicht hieronder zie je wie wat doet bij het opstellen van een register van verwerkingsactiviteiten.

Verantwoordelijkheid


Schoolbestuur
Erop toezien dat een register van verwerkingsactiviteiten wordt opgesteld.

Uitvoering


Ict-coördinator,
Privacy Officer of
P&O-medewerker
Invullen van het register van verwerkingsactiviteiten.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Het opstellen van een register van verwerkingsactiviteiten bestaat uit het inventariseren van alle persoonsgegevens die je verwerkt en het registreren van al die verwerkingen.

Stap 1 | Inventariseer alle verwerkingsverantwoordelijken

Inventariseer alle organisaties waarmee persoonsgegevens van leerlingen en/of medewerkers worden uitgewisseld, zoals DUO, leerplicht, Belastingdienst, UWV enzovoort. Dit zijn de zogeheten andere verwerkingsverantwoordelijken.

Stap 2 | Inventariseer alle verwerkers

Verwerkers zijn alle organisaties die in opdracht van het schoolbestuur persoonsgegevens verwerken. Je kunt hierbij denken aan leveranciers van software of uitgeverijen en distributeurs waarmee persoonsgegevens van leerlingen en medewerkers worden uitgewisseld.

Stap 3 | Inventariseer alle interne formulieren

Inventariseer alle interne formulieren waarin om persoonsgegevens wordt gevraagd of waarin persoonsgegevens worden vastgelegd. Denk daarbij aan het inschrijf- of aanmeldformulier, aanmeldingsformulier schoolreis etcetera.

Stap 4 | Stel een register op

Nu ga je je inventarisaties registreren. Hoe je dat doet is aan de school. Het kan in Word, Excel of via een externe tool. Je kunt ook het dataregister van Kennisnet gebruiken. De AVG stelt geen eisen aan de vorm waarin je het register van verwerkingsactiviteiten giet, maar wel aan de inhoud. Als school ben je verwerkingsverantwoordelijke. De volgende onderdelen moeten minimaal in het register vastgelegd worden:

  • Naam en contactgegevens: vermeld de naam en contactgegevens van de school, de bestuurder en de FG.
  • De verwerkingsdoeleinden: waarom verwerk je persoonsgegevens? In de AVG noemen ze dit het doel en de grondslag van de verwerking.
  • Een beschrijving van de categorieën van betrokkenen: van wie verwerk je persoonsgegevens? In het geval van een school zijn dat leerlingen, medewerkers en relaties.
  • Een beschrijving van de categorieën van persoonsgegevens: wat voor soort persoonsgegevens worden verwerkt? Bijvoorbeeld BSN, NAW-gegevens, pasfoto’s, enzovoort.
  • De categorieën van ontvangers met wie de persoonsgegevens worden gedeeld: met wat voor soort organisaties deel jij de persoonsgegevens? Maak daarbij onderscheid tussen andere verwerkingsverantwoordelijken die de persoonsgegevens verwerken voor hun eigen doeleinden, zoals DUO. En verwerkers die in opdracht van de school persoonsgegevens verwerken, zoals uitgeverijen en distributeurs.
  • Een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om de persoonsgegevens te beveiligen.
  • De bewaartermijnen: hoe lang ga je de persoonsgegevens bewaren.
  • Uitwisseling van persoonsgegevens met derde landen of internationale organisaties: denk bijvoorbeeld aan Google en Microsoft.

Tool: Format dataregister

Ga je voor eerste keer aan de slag met de dataregisters? Lees dan vooraf de toelichting. Op het tabblad “versiebeheer” van elk register staat wat er gewijzigd is. In versie 2.1 van de dataregisters is bijvoorbeeld verwerkt dat de kopie ID voor inschrijving van leerlingen maximaal 1 week op de school aanwezig mag zijn.

Let op: Sommige informatie in het dataregister is beveiligd tegen wijzigen. Dat is om te voorkomen dat je per ongeluk informatie overschrijft of wist. Wil je de informatie bewust wijzigen? Het wachtwoord is KennisNet.

Verdieping

Inhoudsopgave