04.12.2018
AP doet aanbevelingen voor registers van verwerkingen
AP doet aanbevelingen voor registers van verwerkingen
Op 28 november jl. heeft de Autoriteit Persoonsgegevens (AP) op haar website vijf aanbevelingen gepubliceerd voor het register van verwerkingsactiviteiten (‘verwerkingsregister’). Volgens de voorzitter van de AP is het register een goede peilstok waarmee een indruk kan worden verkregen of de AVG wordt nageleefd.
Verwerkingsregister
Een verwerkingsregister omvat een opsomming van de belangrijkste informatie over de verwerkingen van persoonsgegevens, zoals welke categorieën persoonsgegevens worden verwerkt en voor welke doeleinden. De verplichting om een verwerkingsregister bij te houden geldt onder meer voor ondernemingen of organisaties die niet incidenteel maar stelselmatig persoonsgegevens verwerken, als sprake is van verwerkingen die een hoog risico voor rechten en vrijheden van betrokkenen inhouden, of in geval bijzondere persoonsgegevens worden verwerkt.
Zorgaanbieders, klein en groot, zijn op basis van elk van deze gronden gehouden een verwerkingsregister bij te houden. Zorgaanbieders verwerken (doorgaans) stelselmatig gezondheidsgegevens van patiënten. Gezondheidsgegevens kwalificeren bovendien als bijzondere persoonsgegevens. De verwerking van dit soort gevoelige gegevens vergt ook een hoog beschermingsniveau, om inbreuken op de rechten van betrokkenen te voorkomen.
Vijf aanbevelingen
De vijf aanbevelingen van de AP luiden als volgt:
- Benoem hoe lang en met welk doel je persoonsgegevens wil bewaren. Onder de Europese privacywetgeving is het niet toegestaan persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten organisaties kunnen motiveren waarom ze deze gegevens verzamelen.
- Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register.
- Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren.
- Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen.
- Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden van de verwerkingen is niet voldoende.
Vergelijking met voorschriften AVG
De voorschriften voor het verwerkingsregister zijn opgenomen in art. 30 AVG. Vergelijking van de aanbevelingen van de AP met deze voorschriften wijst het volgende uit:
- Aanbeveling 1 verheft het benoemen van bewaartermijnen tot een verplichting. In art. 30 lid 1 sub f AVG is echter bepaald dat ‘indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist’. De tekst va de AVG verplicht daartoe dus niet;
- Aanbeveling 2 komt overeen met het voorschrift van art. 30 lid 1 sub a AVG;
- Aanbeveling 3 gaat er vanuit dat het verwerkingsregister digitaal wordt bijgehouden. Volgens art. 30 lid 3 AVG mag het register echter ook in schriftelijke vorm worden opgesteld;
- Aanbeveling 4 gaat verder dan wat de AVG voorschrijft. In de AVG is niets bepaald over het registreren van specifieke locaties of bestanden;
- Aanbeveling 5 gaat eveneens verder dan de AVG. In art. 30 AVG is niet voorgeschreven dat het register naar verwerkingsactiviteit dient te worden ingedeeld.
Hoewel het volgen van de aanbevelingen in de praktijk geen problemen hoeft te geven (en zelfs wenselijk kan zijn), is het wel goed om vast te stellen dat 4 van de 5 aanbevelingen van de AP vérder gaan dan de AVG voorschrijft. In het kader van (het toezicht op) de verantwoordingsplicht van iedere verwerkingsverantwoordelijke (zoals een zorgaanbieder) dient daarmee rekening te worden gehouden. Aanbevelingen dienen niet tot wet te worden verheven.
Advies?
Advies nodig over privacyvraagstukken? U kunt contact opnemen met Niels van den Burg of Erik Luijendijk.
