Register van verwerkingsactiviteiten

bijgewerkt op 17 september 2020

Als je persoonsgegevens verwerkt moet je je niet alleen aan de regels van de Algemene Verordening Gegevensbescherming (AVG) houden. Je moet ook laten zien dat je dat doet. Dat heet de verantwoordingsplicht. Een van de manieren om aan de verantwoordingsplicht te voldoen is het bijhouden van een register van de verwerkingsactiviteiten. Hierin leg je vast welke persoonsgegevens je verwerkt. Het gaat hierbij om persoonsgegevens die je zelf verwerkt en om persoonsgegevens die in jouw opdracht worden verwerkt door bijvoorbeeld de leverancier van een leerlingadministratiesysteem.

In het register hou je bij wat voor soort persoonsgegevens je verwerkt, van wie je dat doet en waarom. De Autoriteit Persoonsgegevens kan altijd vragen om jouw register in te zien. Dat moet dan actueel en compleet zijn.

Is het wettelijk verplicht?

Het bijhouden van een register van verwerkingsactiviteiten is verplicht vanuit de AVG.

Meer informatie vind je in artikel 30 van de AVG.

Wie doet wat?

Bij het opstellen van een register van verwerkingsactiviteiten zijn verschillende rollen betrokken met elk hun eigen taken:

  • Het schoolbestuur ziet erop toe dat een register van verwerkingsactiviteiten wordt opgesteld.
  • De ict-coördinator, privacy officer of IBP-verantwoordelijke, of de de informatiemanager vult het register van verwerkingsactiviteiten in.

Meer weten over de rol- en taakverdeling voor IBP? Ga naar rollen en verantwoordelijkheden.

Aan de slag

Het opstellen van een register van verwerkingsactiviteiten bestaat uit het inventariseren van alle persoonsgegevens die je verwerkt en het registreren van al die verwerkingen.

Stap 1 | Inventariseer alle verwerkingsverantwoordelijken

Inventariseer alle organisaties waarmee persoonsgegevens van leerlingen en/of medewerkers worden uitgewisseld, zoals DUO, leerplicht, Belastingdienst, UWV enzovoort. Dit zijn de zogeheten andere verwerkingsverantwoordelijken.

Stap 2 | Inventariseer alle verwerkers

Verwerkers zijn alle organisaties die in opdracht van het schoolbestuur persoonsgegevens verwerken. Je kunt hierbij denken aan leveranciers van software of uitgeverijen en distributeurs waarmee persoonsgegevens van leerlingen en medewerkers worden uitgewisseld.

Stap 3 | Inventariseer alle interne formulieren

Inventariseer alle interne formulieren waarin om persoonsgegevens wordt gevraagd of waarin persoonsgegevens worden vastgelegd. Denk daarbij aan het inschrijf- of aanmeldformulier, aanmeldingsformulier schoolreis etcetera.

Stap 4 | Stel een register op

Nu ga je je inventarisaties registreren. Hoe je dat doet is aan de school. Het kan in Word, Excel of via een externe tool. Je kunt ook het dataregister van Kennisnet gebruiken. De AVG stelt geen eisen aan de vorm waarin je het register van verwerkingsactiviteiten giet, maar wel aan de inhoud. Als school ben je verwerkingsverantwoordelijke. De volgende onderdelen moeten minimaal in het register vastgelegd worden:

  • Naam en contactgegevens: vermeld de naam en contactgegevens van de school, de bestuurder en de FG.
  • De verwerkingsdoeleinden: waarom verwerk je persoonsgegevens? In de AVG noemen ze dit het doel en de grondslag van de verwerking.
  • Een beschrijving van de categorieën van betrokkenen: van wie verwerk je persoonsgegevens? In het geval van een school zijn dat leerlingen, medewerkers en relaties.
  • Een beschrijving van de categorieën van persoonsgegevens: wat voor soort persoonsgegevens worden verwerkt? Bijvoorbeeld BSN, NAW-gegevens, pasfoto’s, enzovoort.
  • De categorieën van ontvangers met wie de persoonsgegevens worden gedeeld: met wat voor soort organisaties deel jij de persoonsgegevens? Maak daarbij onderscheid tussen andere verwerkingsverantwoordelijken die de persoonsgegevens verwerken voor hun eigen doeleinden, zoals DUO. En verwerkers die in opdracht van de school persoonsgegevens verwerken, zoals uitgeverijen en distributeurs.
  • Een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn om de persoonsgegevens te beveiligen.
  • De bewaartermijnen: hoe lang ga je de persoonsgegevens bewaren.
  • Uitwisseling van persoonsgegevens met derde landen of internationale organisaties: denk bijvoorbeeld aan Google en Microsoft.

Tool: dataregister

Ga je voor eerste keer aan de slag met een register van verwerkingsactiviteiten? Gebruik dan de dataregisters van Kennisnet. Er is een dataregister voor leerlingen in het po en vo, medewerkers en voor relaties. Lees voor je begint de handleiding. En controleer hier regelmatig of er een nieuwe versie van de dataregisters beschikbaar is. In het tabblad versiebeheer zie je wat er gewijzigd is. Het kan bijvoorbeeld gebeuren dat een bewaartermijn wordt aangepast. Maak die aanpassing dan ook zelf in je eigen registers. 

Het dataregister is gericht op de persoonsgegevens zelf. Het legt dus niet de processen vast van een school en de wijze waarop er in zo’n proces met persoonsgegevens wordt omgegaan. Denk aan het proces van het in- en uitschrijven van een leerling.

Let op: Sommige informatie in de dataregisters is beveiligd tegen wijzigen. Dat is om te voorkomen dat je per ongeluk informatie overschrijft of verwijdert. Wil je de informatie bewust wijzigen? Het wachtwoord is KennisNet.

Verdieping

Inhoudsopgave