Het register van verwerkingsactiviteiten: een doel of een middel?

webredactieGeen categorie

AVG in het onderwijs

Het register van verwerkingsactiviteiten:
een doel of een middel?

Het register van verwerkingsactiviteiten is voor veel scholen nog steeds een hoofdpijndossier. Hoe kan dat? En hoe kun je deze wettelijke verplichting gebruiken als een middel in plaats van een doel op zich? Laten we eerst eens kijken wat de AVG en de Autoriteit Persoonsgegevens zeggen over dit register, dat in het onderwijs het verwerkingsregister of dataregister wordt genoemd.


In artikel 30 van de AVG wordt duidelijk gemaakt dat elke verwerkingsverantwoordelijke een register dient bij te houden van de verwerkingen die onder diens verantwoordelijkheid plaatsvindt. Vervolgens wordt in de wet opgesomd waaruit het register dient te bestaan, waaronder de categorieën die worden verwerkt en de doeleinden waarvoor ze verwerkt worden. Er staat niet bij in welke vorm dit moet en welke mate van detail dit moet bevatten.


De Autoriteit Persoonsgegevens stelt dat scholen verplicht zijn om een register bij te houden. Het register moet zo nodig ook verstrekt kunnen worden aan de AP. Dat is onderdeel van de verantwoordingsplicht. Interessant is dat de AP zelf ook een register heeft opgesteld en via hun eigen website beschikbaar heeft gesteld. Opvallend is dat de AP heeft gekozen voor een tabel met een indeling per directie/afdeling (toezicht, communicatie, bedrijfsvoering, etc.) en vervolgens de verwerkingen beschrijft per (wettelijke) taak.


In het onderwijs wordt veel gewerkt met het dataregister dat Kennisnet destijds heeft ontwikkeld. Hierin wordt onderscheid gemaakt de rollen binnen een school, de partijen met wie de school gegevens uitwisselt en de verwerkers die voor de school gegevens verwerken. Er is een register voor leerlinggegevens en een voor medewerkersgegevens. Het feit dat verwerkingen niet worden vastgelegd per proces, activiteit of taak, maakt dat het register bijzonder veel werk is om in te vullen. Gegevenscategorieën moeten per verwerker, partij of rol worden vastgelegd. Daarnaast heeft de Excel niet de meest handige indeling. Veel scholen haken daarom af.

Het register schiet hiermee zijn doel voorbij. Het doel van het register is het kunnen verantwoorden van de persoonsgegevens die een organisatie verwerkt op basis van doelbinding en grondslag. Daarnaast moet je ook eenvoudig kunnen zien hoe lang je bepaalde gegevens bewaard en hoe je deze beschermd. Aangezien het register vormvrij is, zou daarom in het onderwijs gekozen moeten worden voor een eenvoudiger indeling waarbij de organisatie meer inzicht krijgt in de verschillende verwerkingen van persoonsgegevens, met name in verwerkingen die veel risico’s met zich meebrengen. Het beschrijven per verwerkingsactiviteit en proces (zorg, communicatie, lesgeven, toetsen, etc.) zou hierbij helpen.


Daarnaast zou het goed zijn wanneer scholen de inhoud van het register met elkaar kunnen delen. Ook tussen gemeentes gebeurt dit al. Voor scholen verschillen veel verwerkingsactiviteiten niet van elkaar. Het scheelt scholen veel tijd en energie wanneer men gebruik kan maken van elkaars werk. Gelukkig gaat dit steeds eenvoudiger, omdat diverse tooling in de markt geschikt wordt gemaakt om de vulling van het register deelbaar te maken met andere gebruikers, zoals de IBP-tool van YourSafetyNet en Smile. Naast veel tijdsbesparing wordt ook de vulling beter als krachten worden gebundeld.

Hiermee kunnen scholen alsnog voldoen aan hun wettelijke verplichting, maar nog beter: het register als een middel gebruiken voor het nemen van de juiste maatregelen.