Register van verwerkingsactiviteiten
Als je persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More verwerkt moet je je niet alleen aan de regels van de Algemene Verordening Gegevensbescherming (AVG) houden. Je moet ook laten zien dat je dat doet. Dat heet de verantwoordingsplicht. Een van de manieren om aan de verantwoordingsplicht te voldoen is het bijhouden van een register van de verwerkingsactiviteiten. Hierin leg je vast welke persoonsgegevens je verwerkt. Het gaat hierbij om persoonsgegevens die je zelf verwerkt en om persoonsgegevens die in jouw opdracht worden verwerkt door bijvoorbeeld de leverancier van een leerlingadministratiesysteem.
In het register hou je bij wat voor soort persoonsgegevens je verwerkt, van wie je dat doet en waarom. De Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. More kan altijd vragen om jouw register in te zien. Dat moet dan actueel en compleet zijn.
Is het wettelijk verplicht?
Het bijhouden van een register van verwerkingsactiviteitenEen register met informatie over verwerkingen van persoonsgegevens. More is verplicht vanuit de AVG.
Meer informatie vind je in artikel 30 van de AVG.
Wie doet wat?
Bij het opstellen van een register van verwerkingsactiviteiten zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More ziet erop toe dat een register van verwerkingsactiviteiten wordt opgesteld.
- De ict-coördinatorIn het po meestal betrokken bij de praktische uitvoering van IBP. Deze rol kan afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een Privacy Officer, manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder of kwaliteitsmedewerker. More, privacy officerIn het vo meestal betrokken bij de uitvoering van IBP. Deze rol kan ook afhankelijk van het soort onderwijs (po of vo) en van de grootte van de organisatie, ook vervuld worden door een manager IBP, verantwoordelijke IBP, informatiemanager, Security Officer, functioneel beheerder, ict-beheerder, ict-coördinator of kwaliteitsmedewerker. More of IBP-verantwoordelijke, of de de informatiemanager vult het register van verwerkingsactiviteiten in.
Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.
Aan de slag
Het opstellen van een register van verwerkingsactiviteiten bestaat uit het inventariseren van alle persoonsgegevens die je verwerkt en het registreren van al die verwerkingen.
Stap 1 | Inventariseer alle verwerkingsverantwoordelijken
Inventariseer alle organisaties waarmee persoonsgegevens van leerlingen en/of medewerkers worden uitgewisseld, zoals DUO, leerplicht, Belastingdienst, UWV enzovoort. Dit zijn de zogeheten andere verwerkingsverantwoordelijken.
Stap 2 | Inventariseer alle verwerkers
Verwerkers zijn alle organisaties die in opdracht van het schoolbestuur persoonsgegevens verwerkenAlles wat er met persoonsgegevens wordt gedaan, wordt in de wet verwerken genoemd. Verwerken is dus onder meer: online en offline persoonsgegevens verzamelen, kopiëren, opslaan, verspreiden, publiceren, delen én uitwisselen. Het maakt dus niet uit wat je doet met persoonsgegevens: alles noemen we verwerken en valt onder de wettelijke bescherming. More. Je kunt hierbij denken aan leveranciersAanbieders van ict- of leermiddelen. More van software of uitgeverijen en distributeurs waarmee persoonsgegevens van leerlingen en medewerkers worden uitgewisseld.
Stap 3 | Inventariseer alle interne formulieren
Inventariseer alle interne formulieren waarin om persoonsgegevens wordt gevraagd of waarin persoonsgegevens worden vastgelegd. Denk daarbij aan het inschrijf- of aanmeldformulier, aanmeldingsformulier schoolreis etcetera.
Stap 4 | Stel een register op
Nu ga je je inventarisaties registreren. Hoe je dat doet is aan de school. Het kan in Word, Excel of via een externe tool. Je kunt ook het dataregister van Kennisnet gebruiken. De AVG stelt geen eisen aan de vorm waarin je het register van verwerkingsactiviteiten giet, maar wel aan de inhoud. Als school ben je verwerkingsverantwoordelijkeDegene die het doel en de middelen bepaalt bij het verwerken van persoonsgegevens, zoals een schoolbestuur. More. De volgende onderdelen moeten minimaal in het register vastgelegd worden:
- Naam en contactgegevens: vermeld de naam en contactgegevens van de school, de bestuurder en de FG.
- De verwerkingsdoeleinden: waarom verwerk je persoonsgegevens? In de AVG noemen ze dit het doel en de grondslagDe (wettelijke) basis waarop je persoonsgegevens verwerkt. Er zijn 6 mogelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang. More van de verwerking.
- Een beschrijving van de categorieën van betrokkenenDe personen van wie persoonsgegevens worden verwerkt. More: van wie verwerk je persoonsgegevens? In het geval van een school zijn dat leerlingen, medewerkers en relaties.
- Een beschrijving van de categorieën van persoonsgegevens: wat voor soort persoonsgegevens worden verwerkt? Bijvoorbeeld BSN, NAW-gegevens, pasfoto’s, enzovoort.
- De categorieën van ontvangers met wie de persoonsgegevens worden gedeeld: met wat voor soort organisaties deel jij de persoonsgegevens? Maak daarbij onderscheid tussen andere verwerkingsverantwoordelijken die de persoonsgegevens verwerken voor hun eigen doeleinden, zoals DUO. En verwerkers die in opdracht van de school persoonsgegevens verwerken, zoals uitgeverijen en distributeurs.
- Een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om de persoonsgegevens te beveiligen.
- De bewaartermijnenDe (wettelijke) periode dat een (persoons)gegeven bewaard moet worden. More: hoe lang ga je de persoonsgegevens bewaren.
- Uitwisseling van persoonsgegevens met derde landenAlle landen buiten de Europese Economische Ruimte: alle EU-landen en Noorwegen, Liechtenstein, IJsland. Derde landen houden zich niet aan de EU-regelgeving als het gaat om privacy. More of internationale organisaties: denk bijvoorbeeld aan Google en Microsoft.
Tool: dataregister
Ga je voor eerste keer aan de slag met een register van verwerkingsactiviteiten? Gebruik dan de dataregisters van Kennisnet. Er is een dataregisterHet dataregister is een register van verwerkingsactiviteiten speciaal voor het onderwijs. Het dataregister is voor een gedeelte al ingevuld en van suggesties voorzien. More voor leerlingen in het po en vo, medewerkers en voor relaties. Lees voor je begint de handleiding. En controleer hier regelmatig of er een nieuwe versie van de dataregisters beschikbaar is. In het tabblad versiebeheer zie je wat er gewijzigd is. Het kan bijvoorbeeld gebeuren dat een bewaartermijn wordt aangepast. Maak die aanpassing dan ook zelf in je eigen registers.
Het dataregister is gericht op de persoonsgegevens zelf. Het legt dus niet de processen vast van een school en de wijze waarop er in zo’n proces met persoonsgegevens wordt omgegaan. Denk aan het proces van het in- en uitschrijven van een leerling.
Let op: Sommige informatie in de dataregisters is beveiligd tegen wijzigen. Dat is om te voorkomen dat je per ongeluk informatie overschrijft of verwijdert. Wil je de informatie bewust wijzigen? Het wachtwoord is KennisNet.
