''In eerste instantie voelt het Register van Verwerkingen als een verplichting,'' zegt Tijn Küppers, Business Process Management-consultant bij VertX. ''Maar al snel ontdekken kennishouders dat het méér oplevert dan alleen compliance.''
Wat begon als een wettelijke plicht vanuit de AVG, groeit bij de Universiteit Leiden uit tot een kans om structureel te verbeteren. Processen komen nog scherper in beeld, risico’s worden beter beheersbaar en medewerkers worden zich nog bewuster van hoe ze omgaan met privacy en gegevensbescherming.
.png)
De AVG schrijft voor dat organisaties met meer dan 250 medewerkers een Register van Verwerkingen moeten bijhouden. Hierin staat welke persoonsgegevens worden verwerkt, met welk doel en hoe deze zijn beveiligd.
Voor de Universiteit Leiden betekent dat: honderden verwerkingen opnieuw in kaart brengen, verspreid over afdelingen en faculteiten. Een flinke klus, maar stilstaan is geen optie.
Het Register van Verwerkingen is niet alleen een wettelijke verplichting, maar ook een middel om grip te krijgen: meer inzicht in bewaartermijnen, duidelijkheid over systemen en een kleinere kans op datalekken.
Inmiddels zijn er meer dan 300 verwerkingen centraal vastgelegd in de GRC-tooling Trustbound. Daarmee verdwijnt de versnippering van losse Excel-lijstjes, waarin de verwerkingen eerst waren vastgelegd.
Dat levert inzichten op die verder gaan dan wetgeving: hoe processen en systemen aan elkaar gekoppeld zijn, waar de risico’s liggen en misschien nog belangrijker: meer bewustwording bij medewerkers. Het Register van Verwerkingen wordt zo een middel voor cultuurverandering: medewerkers staan vaker stil bij de vraag of zij persoonsgegevens op de juiste manier verwerken.
Zoals bij veel verplichtingen is er in het begin weerstand. Niet iedereen ziet meteen de meerwaarde. Maar door het gesprek aan te gaan, te laten zien wat het Register van Verwerkingen oplevert en kennishouders actief te betrekken, ontstaat gaandeweg draagvlak.
''Zodra duidelijk wordt dat het Register van Verwerkingen een centraal overzicht geeft en inzicht in risico’s, verandert de houding,'' zegt Tijn. ''Mensen zien de waarde en werken mee.''
Het traject bij Leiden laat zien wat in veel organisaties herkenbaar is:
1. De wet schrijft iets voor.
2. Er ontstaat weerstand: medewerkers zien het vooral als extra werk.
3. Het proces wordt structureel ingericht.
4. Nieuwe inzichten ontstaan en organisaties ontdekken kansen om processen te verbeteren en risico’s te verkleinen.
Of het nu gaat om AVG, Arbo, milieuwetgeving of financiële rapportages: vaak blijkt een verplichting niet alleen een last, maar juist een kans om duurzaam vooruitgang te boeken.
Dat zagen we ook bij ons recente project, een Mavim-implementatie bij Oosterlengte. Wat begon als een nieuwe Mavim-inrichting, groeide uit tot een complete opschoning van de database.
''Je kunt zeggen dat het Register van Verwerkingen de universiteit niet alleen compliant maakt,'' besluit Tijn, ''maar ook sterker en toekomstbestendiger.''