Verwerkingsregister van Autoriteit Persoonsgegevens is openbaar!

Datalek AVG

Verwerkingsregister van Autoriteit Persoonsgegevens is openbaar!

Dit is interessant: het verwerkingsregister van de Autoriteit Persoonsgegevens is opgevraagd door AuditConnect, en zij hebben het gekregen.

Wij hebben er ook al even naar gekeken.

Wat valt er gelijk op?

Dat er ook kolommen zijn die bovenwettelijk zijn. Dit betekent dus dat er door de Autoriteit Persoonsgegevens kolommen zijn gehanteerd die volgens de wet niet verplicht zijn. Een voorbeeld daarvan is de risicoklasse. In de uitleg bij de kolom risicoklasse is ook niet meteen duidelijk op basis waarvan die classificatie tot stand is gekomen of bij welke standaard de Autoriteit Persoonsgegevens daarbij heeft aangesloten.

Dat men aangeeft welke programmatuur gebruikt wordt voor bepaalde verwerkingen. Ook dit is optioneel. De Autoriteit Persoonsgegevens had ervoor kunnen kiezen dit niet te delen. Het kan natuurlijk heel interessant zijn voor visexpedities. We kunnen ons zomaar voorstellen dat de medewerkers van de Autoriteit Persoonsgegevens nu vaker met gerichtere phisingmails worden lastiggevallen.

Dat er binnen Autoriteit Persoonsgegevens een F:-schijf en J:-schijf bestaat. Ook hier had men er voor kunnen kiezen dit niet te delen.

Dat er binnen de Autoriteit Persoonsgegevens iPhones gebruikt worden. Al wordt het niet duidelijk of die telefoons aan medewerkers door de Autoriteit Persoonsgegevens in gebruik gegeven zijn, of dat het telefoons van medewerkers zelf zijn.

Dat de ingang voor het register de ene keer een proces is en de andere keer een activiteit. Waarbij er telkens een veld is van categorieën betrokken en in dat veld de categorieën betrokkenen met komma’s worden ingevuld. En dit is bijzonder, want voor elke categorie kan een ander verwerkingsdoel en wettelijke grondslag gelden. Nu wordt het feitelijk op één hoop geveegd er van uitgaande dat voor de hoop een veerwerkingsdoel en wettelijke grondslag geld.

Dat het een excelsheet betreft. Misschien is het wel een export uit een geautomatiseerd systeem. Maar als het inderdaad een excelsheet is, is het niet goed na te gaan welke vorige versies er waren en wie er aanpassingen gedaan heeft. Tenzij dat allemaal netjes apart bijgehouden wordt.

Wie heeft hier wat aan?

Iedereen. Want iedereen moet een verwerkingsregister hebben. De vraag is echter of je met dit voorbeeld iedere MKB-er een plezier doet daar er heel veel kolommen niet verplicht zijn ingevolge de wet. Ons advies is altijd om eerst de zaken op orde te hebben die echt verplicht zijn. Een gemiddelde MKB-ondernemer zit er sowieso niet op te wachten om een draak van een excelsheet bij te houden, voor andere reden dan financiële redenen.

Maar het is ook leerzaam voor overheden en/of bestuursorganen. Die kunnen hier echt interessante zaken uithalen.

Tot slot

Het leukste is natuurlijk om te zien dat er bij de Autoriteit Persoonsgegevens ook maar gewoon mensen werken. Mensen die lang en breed nagedacht hebben over zaken, soms in een spagaat terecht kwam, en er het beste van gemaakt hebben.

Of het echt maatgevend is voor je eigen register, dat laten we heel diplomatiek even in het midden.