Opinie

Artikel 30 van de AVG eist dat een verwerkingsverantwoordelijke een register bijhoudt van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. En dat is heel logisch. Om de overige artikelen van de AVG te kunnen naleven, moet je natuurlijk wel weten om welke gegevens het precies gaat. Veel organisaties leggen vanwege deze verplichting zo'n verwerkingsregister aan, gebruikmakend van zelf gemaakte Excelsheets tot aan specifiek daarvoor ontwikkelde tooling. En hoewel je met zo'n verwerkingsregister voldoet aan een van de vele eisen vanuit de AVG, is de vraag of het hebben van zo'n apart register de juiste aanpak is. Persoonsgegevens zijn namelijk niet het enige soort gegeven dat om goed beheer en om goede beveiliging vraagt. Ook voor andere vertrouwelijke bedrijfsinformatie geldt dat het goed zicht hebben erop noodzakelijk is om ze goed te kunnen beheren en beveiligen. Eigenlijk wil je als organisatie een centraal overzicht hebben van alle bedrijfsinformatie. Of iets een persoonsgegeven is en de verwerking daarvan dus onder de AVG valt, zou eigenlijk niet meer dan een attribuut van informatie in dat centrale overzicht moeten zijn.

Informatiebeveiliging, gegevensbescherming en informatiemanagement hebben veel gemeenschappelijk. Of het nou gaat om het beveiligen van informatie, het netjes en eerlijk verwerken van informatie of het beheren van informatie, het gaat in alle gevallen om hoe de organisatie omgaat met informatie. De CISO, de FG, de PO en de informatiemanager hebben te maken met veel dezelfde uitdagingen, zoals de directie het belang laten inzien van goed met informatie omgaan en de gewoontes en cultuur van de organisatie veranderen om verbeteringen in deze omgang in de praktijk te kunnen brengen. Deze losse vakgebieden kan je eigenlijk niet goed invullen zonder rekening te houden met de andere vakgebieden. We weten ondertussen dat je informatiebeveiliging nodig hebt om voor goede gegevensbescherming. Echter, goed ingericht informatiemanagement is daarvoor ook nodig. Het gaat in de praktijk namelijk niet werken om speciaal voor persoonsgegevens een aparte aanpak en omgang met informatie af te dwingen. Goede omgang met informatie moet integraal ingericht worden. Denk aan goede en betrouwbare opslag van informatie (voorkomen van datalek door kwijtraken), weet hebben van wat waar staat (nodig voor inzagerecht) of het weggooien van overbodig-geraakte informatie (minimale gegevensverwerking en recht op vergetelheid).

Gegevensbescherming kan dus alleen goed worden ingericht als dit gezamenlijk met informatiebeveiliging en informatiemanagement wordt aangepakt. Een periodiek overleg tussen deze vakgebieden is daarbij noodzakelijk. Het inwisselen van het aparte verwerkingsregister voor een organisatiebreed informatielandschapsoverzicht kan daarbij een mooie start zijn.