Carmen Graauwmans / 5 maart 2018

Overzicht verwerkingen [blog 3/10]

Stel je voor: je klant wil weten welke persoonsgegevens jij van hem verwerkt. Door zijn recht op inzage ben je verplicht om deze gegevens binnen vier weken te presenteren. Het verwerkingsregister helpt je hierbij. In blog drie ontdek je wat dit register inhoudt en waarom een ‘baat het niet, dan schaadt het niet’ tactiek niet langer houdbaar is bij het verwerken van persoonsgegevens.

Het verplichte verwerkingsregister

Bedrijven willen hun klanten zo goed mogelijk bedienen via alle kanalen waar de klant actief is, bijvoorbeeld via e-mail. Als de GDPR-wet straks in werking treedt, zal dan niet anders zijn. Wel anders is de manier waarop. De ontvanger van de nieuwsbrief moet vooraf weten wat het doel is en hoe vaak die een e-mail kan verwachten. Dit middel en doel verwerk je in het verwerkingsregister. Zo ontstaat een overzicht met welk systeem, welke persoonsgegevens worden verwerkt en met welk doel. Het verwerkingsregister is een verplicht component van de GDPR-wet. De Autoriteit Persoonsgegevens moet de gegevens desgevraagd kunnen inzien ter controle. In het verwerkingsregister hoef je niet de daadwerkelijke persoonsgegevens te zetten, zoals het e-mailadres.

Een verwerkingsregister opstellen

Er is geen vastgesteld format voor het verwerkingsregister. Een excelsheet voldoet. Vermeld in het register per gegevenscategorie welke wettelijke grondslag van toepassing is voor het opslaan van de persoonsgegevens. Maak hier onderscheid tussen een gerechtvaardigd belang (bijvoorbeeld het telefoonnummer voor tweetrapsverificatie) of toestemming van de betrokkene (zoals het inschrijven op de nieuwsbrief). Goed om te weten: de grondslagen in de GDPR-wet zijn grotendeels gelijk aan die van de Wet bescherming persoonsgegevens (Wbp).

Het verwerkingsregister helpt tegen wildgroei aan gegevensopslag

Herkenbaar: Door het hele bedrijf heen gebruiken verschillende afdelingen verschillende systemen voor het verwerken van, veelal dezelfde, persoonsgegevens. Marketing gebruikt het CRM, finance heeft een boekhoudsysteem en HR werkt met personeelsadministratiesoftware. Eén systeem met daarin alle informatie zou handig zijn, maar in de praktijk is dat bij weinig bedrijven het geval. Zo ontstaan eilanden. Zonder overzicht worden het op zichzelf staande eilanden, terwijl de GDPR-wet vraagt om een overzicht van alle persoonsgegevens die je als bedrijf verwerkt. Het verwerkingsregister is de verbinding tussen de eilanden. Het wordt het go-to document dat je raadpleegt als je klant vraagt welke persoonsgegevens je met welk doel verwerkt.

Baat het niet, dan schaadt het wel

Persoonsgegevens zijn de weg naar relevante communicatie. Onder het motto ‘baat het niet dan schaadt het niet’, kunnen bedrijven persoonsgegevens opslaan om nu of in de toekomst te gebruiken voor marketingdoelen. Maar dit verandert. De GDPR-wet verbiedt het verwerken van persoonsgegevens die geen doel dienen. Als je een telefoonnummer vraagt en opslaat, moet dat nummer ergens voor dienen, zoals voor tweetrapsverificatie. Het is niet toegestaan om het telefoonnummer voor andere doelen te gebruiken. Als de gegevens het doel hebben gediend, raden we aan ze te verwijderen. Je hebt ze niet meer nodig, dus waarom zou je ze bewaren? Dit is ook aan te raden, want stel dat je gehackt wordt en er komt op straat te liggen dat je ongevraagd persoonsgegevens opslaat, heeft het je niets gebaat maar wel geschaad.

Zeg wat je doet, doe wat je zegt

Je klant krijgt dankzij de GDPR-wet verbeterde privacyrechten en jij grotere verantwoordelijkheden. De juiste verwachtingen creëren wordt belangrijker dan ooit. Bij iedere handeling waarbij je persoonsgegevens nodig hebt, raden we aan om duidelijk te zeggen waar ze voor dienen en je daaraan te houden. Zeg wat je doet, en doe wat je zegt. Dan komt het helemaal goed en kun je je met deze transparante houding zelfs onderscheiden van de concurrentie.

Meer weten over het verwerkingsregister?

Xcellent helpt klanten en niet-klanten om zich gereed te maken voor de veranderende wet. Neem bij vragen contact op met onze informatiebeveiligingsspecialisten. We helpen je graag.

Blog 4, data protection impact assessment, verschijnt maandag 12 maart

Carmen Graauwmans
Wil je meer weten over de GDPR-wet, stuur mij een bericht en ik neem contact met je op.

Contact

Contact