Register van verwerkingen

Wat is nu precies ‘het verwerken van persoonsgegevens’? Daarover bestaat nog al eens onduidelijkheid. In dit artikel staan we stil bij het bewerken en verwerken en welke rechten en plichten daarbij horen. De Wet bescherming persoonsgegevens (Wbp) heeft het over het bewerken van gegevens door bewerkers. De Algemene Verordening Gegevensbescherming (AVG) laat zien dat het bewerken van persoonsgegevens veel breder moet worden gezien.

In AVG artikel 4 lid 2 vermeldt de AVG: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd door geautomatiseerde procedés.

Vrijwel alles wat je met persoonsgegevens doet moet worden bezien als een verwerking van persoonsgegevens. Alle organisaties hebben onder de AVG een documentatieplicht (accountability). Zij moeten aantonen dat zij in overeenstemming met de AVG handelen. Als verantwoordelijke voor verwerking(en) van een zorginstelling ben je dus verplicht de verwerking(en) binnen de zorginstelling inzichtelijk te hebben. Daarvoor dien je periodiek een inventarisatie uit te voeren. Dit leidt tot een register van verwerkingen.

Verwerkingen inventariseren

Het is dus noodzakelijk dat je als zorginstelling een compleet overzicht hebt van alle verwerkingen van persoonsgegevens in de organisatie. Ook verwerkingen, die zijn uitbesteed aan een verwerker, maar onder verantwoordelijkheid van de zorginstelling (de zorginstelling is dan verwerkingsverantwoordelijke) vallen, vallen hieronder.

Het beoordelen van de gegevensstromen en bestanden in de zorginstelling leidt tot een goede inventarisatie van verwerkingen. Let wel: niet alle verwerkingen zijn verwerkingen in de zin van de AVG. Alleen verwerkingen van persoonsgegevens moeten in het kader van de AVG worden opgenomen in het register van verwerkingen.

Verwerkingen registreren

Onder de Wbp moest een nieuwe verwerking van persoonsgegevens voorafgaand aan de verwerking worden gemeld bij de Autoriteit Persoonsgegevens (AP), toen nog Commissie bescherming Persoonsgegevens (CBP) geheten. Deze verplichte voorafgaande melding bij de AP komt onder de AVG te vervallen. Wel moet je als zorginstelling op ieder willekeurig moment inzicht (aan bijvoorbeeld de AP) kunnen verschaffen in al jouw verwerkingen van persoonsgegevens (AVG artikel 30 lid 4). Hiertoe dient het register van verwerkingen. Het goed in kaart hebben van alle verwerkingen van persoonsgegevens en hoe de informatie binnen de processen wordt gedeeld verkleint de kans op een datalek aanzienlijk!

Wat wordt opgenomen in het register van verwerkingen?

In het register van verwerkingen wordt opgenomen welke gegevens worden verwerkt, met welk doel de gegevens worden verzameld, waar de gegevens vandaan komen en met wie de gegevens worden gedeeld. Met het alleen registreren van deze ‘hoofdlijn’ ben je er als zorginstelling niet. AVG artikel 30 lid 1 en 2 geeft, zowel voor de verwerkingsverantwoordelijke (de zorginstelling) als de verwerker (bijvoorbeeld de leverancier van een Elektronisch Cliënten Dossier [ECD]), aan welke informatie moet worden opgenomen in het register van verwerkingen.