De AVG en RT, heb jij voldoende overzicht?

Geschreven op

Dit is het vierde blog uit mijn reeks over de AVG. In deze blogs beschrijf ik wat ik heb uitgezocht voor mijn eigen praktijk en deel ik die kennis, zodat jij ook een idee hebt wat je moet doen om aan de AVG te gaan voldoen. Van deze blogs maak ik ook een e-book. Als je je hier aanmeldt om mijn mails te ontvangen, krijg je het e-book zodra het af is.

Voordat ik verder ga, schrijf ik wel steeds even een waarschuwing om misverstanden te voorkomen: ik ben geen jurist en wat ik schrijf is gebaseerd op wat ik zelf uitzoek voor Mijn Superkracht en mijn praktijk. Het is dus geen juridisch advies en voor jouw situatie kunnen andere zaken belangrijk zijn.

In mijn vorige blog beschreef ik de rechten die betrokkenen hebben als jij hun gegevens verwerkt. Wanneer iemand jou vraagt iets aan te passen of te verwijderen op basis van deze rechten, is het wel fijn als je weet waar je die gegevens precies hebt staan. Hoe je zorgt dat je dit snel terug kunt vinden en welke eisen de AVG stelt, vind je terug in dit blog.

Is een register van verwerkingsactiviteiten verplicht?

Volgens de AVG heb je een verantwoordingsplicht. Dit betekent dat jij je moet verantwoorden voor de wijze waarop je omgaat met persoonsgegevens. Dit doe je in een aantal documenten, waarvan de meesten in een ander blog aan bod zullen komen. In dit blog ga ik alleen in op het register van verwerkingsactiviteiten.

Het register helpt zoals gezegd om je verwerkingen in kaart te brengen en is officieel verplicht, maar er is een aantal uitzonderingen. Deze uitzonderingen vind je op de site van de AP.

Het opstellen van een overzicht

Als je een register op moet stellen, dan zijn er richtlijnen hoe je je verwerkingen in kaart moet brengen. Als je geen register opstelt, is het toch belangrijk om ervoor te zorgen dat je inzicht hebt in welke gegevens je verwerkt en hoe je hiermee omgaat.

In een overzicht van verwerkingen noteer je bijvoorbeeld:

  1. Welke gegevens je verzamelt en of het bijzondere persoonsgegevens zijn
  2. Met welk doel je de gegevens verzamelt, bijvoorbeeld het versturen van facturen, opstellen van een onderzoeksverslag en het geven van een goed handelingsadvies of het versturen van een nieuwsbrief
  3. Op welke grondslag je je baseert bij de verwerking van die gegevens. Bij klanten zal dit op grond van een overeenkomst zijn, maar verwerk je bijvoorbeeld ook gegevens van leerkracht zodat je met ze kunt communiceren over de voortgang van je leerlingen, dan is er toestemming nodig. Dat geldt ook wanneer je nieuwsbrieven verstuurt.
  4. Hoe of waar je de gegevens verzamelt, gebeurt dit in een gesprek, heb je hier een formulier voor dat je mailt of dat op je website staat, etc.
  5. Hoe lang je gegevens bewaart en ook op welk moment en hoe je ze vernietigt of verwijdert
  6. Hoe en waar je de gegevens opslaat/ bewaart, zodat je ze zelf goed terug kunt vinden als dat nodig is, maar je ook hebt staan aan welke andere partijen je ze eventueel hebt doorgegeven

Wat ga ik daarna met mijn overzicht doen?

Mijn plan is om een verkorte versie van het overzicht te maken, waarop ik per klant aan kan geven wat ik geregeld heb en waar de gegevens staan. Werk ik bijvoorbeeld op basis van een overeenkomst, dan kan ik in dat overzicht aanvinken of ik de overeekomst ontvangen heb. En maak ik een account aan bij een website, dan vink ik dat aan.

Dit overzicht doe ik in het dossier van de leerling en zodra er een vraag komt of de begeleiding beëindigd wordt, weet ik op basis van dat overzicht wat ik moet doen. Als er dan eventueel zaken zijn die nog niet direct kunnen, kan ik ze, met datum, ook op dat overzicht zetten. Dus als ik 2 jaar na het beëindigen van de overeekomst het dossier moet vernietigen, dan zet ik dat al direct met datum op het overzicht.

En nu?

Zodra je overzicht hebt in welke gegevens je verwerkt en wat je er mee doet, is het tijd om te kijken welke eisen de AVG stelt aan je praktijk en wat je nog kunt doen om eventuele risico's te verkleinen. Een aantal van deze zaken beschrijf ik in mijn volgende blog.