Een Register van Verwerkingsactiviteiten (RoPA) is het centrale verantwoordelijkheidsdocument dat vereist is op grond van artikel 30 GDPR. Verwerkingsverantwoordelijken dienen een schriftelijke registratie bij te houden van al hun verwerkingsactiviteiten van persoonsgegevens, en verwerkers dienen een overeenkomstige registratie bij te houden van verwerkingen die namens verwerkingsverantwoordelijken worden uitgevoerd. Het RoPA is geen registerformaliteit — het is de organisatorische ruggengraat van een GDPR-nalevingsprogramma, omdat het systematische identificatie afdwingt van welke gegevens worden verwerkt, voor welke doeleinden, op welke rechtsgrond en voor hoe lang. Zonder een accuraat RoPA heeft een GDPR-nalevingsprogramma geen betrouwbare basis.
De artikel 30-verplichting geldt voor organisaties met 250 of meer werknemers. Organisaties onder deze drempel zijn ook verplicht een RoPA bij te houden wanneer de verwerking niet occasioneel is, waarschijnlijk een hoog risico oplevert, of bijzondere categorieën gegevens omvat. In de praktijk vallen de meeste organisaties die persoonsgegevens op een stelselmatige of voortdurende wijze verwerken — wat vrijwel alle commerciële activiteiten omvat — onder de reikwijdte van deze verplichting, ook onder de drempel van 250 werknemers.
Artikel 30, lid 1, specificeert de verplichte inhoud van het RoPA van de verwerkingsverantwoordelijke. Voor elke verwerkingsactiviteit dient de registratie te bevatten: de naam en contactgegevens van de verwerkingsverantwoordelijke (en, waar van toepassing, de gezamenlijke verwerkingsverantwoordelijke, de vertegenwoordiger van de verwerkingsverantwoordelijke en de FG); de verwerkingsdoeleinden; een beschrijving van de categorieën van betrokkenen en categorieën van verwerkte persoonsgegevens; de categorieën van ontvangers aan wie gegevens zijn of worden bekendgemaakt, inclusief ontvangers in derde landen; waar van toepassing, overdrachten naar derde landen en het overdrachtsmechanisme; de beoogde verwijderingstermijn voor elke datacategorie waar mogelijk; en een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
Het RoPA dient schriftelijk te worden bijgehouden, hetgeen elektronische vorm omvat. Het dient op verzoek aan de toezichthoudende autoriteit beschikbaar te worden gesteld. Toezichthoudende autoriteiten behandelen het RoPA als een primair verantwoordelijkheidsdocument: bij het onderzoeken van een klacht of het uitvoeren van een audit is het RoPA doorgaans een van de eerste gevraagde documenten.
Het opbouwen van het initiële RoPA vereist een verwerkingsinventarisatie: een systematisch overzicht van de verwerkingsactiviteiten van de organisatie, uitgevoerd met inbreng van alle bedrijfsfuncties die persoonsgegevens verwerken. Dit is meer dan een IT-oefening — het vereist betrokkenheid van HR, juridische zaken, financien, verkoop, marketing, operaties en elke andere functie die persoonsgegevens verwerkt in het kader van haar werkzaamheden.
Eenmaal opgebouwd, dient het RoPA actueel te worden gehouden. Wijzigingen in verwerkingsactiviteiten — nieuwe producten, nieuwe leveranciersrelaties, nieuwe datacategorieën, systeemmigraties, wijzigingen in bewaartermijnen — dienen tijdig in het RoPA te worden weerspiegeld. De organisatie dient een governanceproces vast te stellen voor RoPA-updates: wie verantwoordelijk is voor elk item, wie verantwoordelijk is voor het triggeren van updates wanneer de verwerking verandert, en wie het RoPA periodiek beoordeelt op volledigheid en juistheid.
Het RoPA dient doeleinden die verder gaan dan regelgevende naleving. Een goed onderhouden RoPA ondersteunt Gegevensbeschermingseffectbeoordelingen door de basisomschrijving van de verwerking te verschaffen van waaruit hoog-risico activiteiten kunnen worden geïdentificeerd. Het ondersteunt DSARs door een kaart te verschaffen van waar gegevens in de organisatie worden bewaard. Het ondersteunt datalekrespons door de reikwijdte van verwerkingsactiviteiten te identificeren. Het ondersteunt leveranciersbeheer door een systematische registratie van gegevensverwerkers te verschaffen. En het ondersteunt juridische analyse van rechten van betrokkenen door de rechtsgrond en bewaartermijn voor elke verwerkingsactiviteit te identificeren.
Ja, in de meeste gevallen. Hoewel artikel 30, lid 5, een gedeeltelijke uitzondering creërt voor organisaties met minder dan 250 werknemers, geldt de uitzondering alleen voor verwerking die niet occasioneel is, of waarschijnlijk risico's oplevert voor de rechten en vrijheden van betrokkenen, of bijzondere categorieën gegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen omvat. De meeste commerciële organisaties onder de drempel van 250 werknemers verwerken werknemersgegevens, klantgegevens en leveranciersgegevens op doorlopende basis, en dienen een RoPA bij te houden voor deze activiteiten.
De GDPR specificeert minimuminhoud (de artikel 30, lid 1-elementen) maar schrijft geen formaat of granulariteitsniveau voor. In de praktijk bevelen toezichthoudende autoriteiten en gegevensbeschermingspractici aan elke verwerkingsactiviteit te beschrijven op een detailniveau dat een zinvol beeld geeft van welke gegevens betrokken zijn, waarom ze worden verwerkt, waarheen ze gaan en hoe lang ze worden bewaard — eerder dan op een hoog niveau dat zeer verschillende activiteiten groepeert onder een generieke beschrijving.
Nee. Het RoPA is een verantwoordelijkheidsdocument dat door de verwerkingsverantwoordelijke wordt bijgehouden voor de toezichthoudende autoriteit en voor interne governancedoeleinden. Betrokkenen hebben rechten op informatie over verwerking op grond van de artikelen 13 en 14 (de privacyverklaring), maar niet het recht om het RoPA zelf in te zien.
Het RoPA en de DPIA dienen complementaire maar verschillende doeleinden. Het RoPA is een uitgebreide catalogus van alle verwerkingsactiviteiten. De DPIA is een risico-instrument dat wordt toegepast op verwerkingsactiviteiten die waarschijnlijk een hoog risico voor personen opleveren. Het RoPA dient te identificeren welke verwerkingsactiviteiten onderworpen zijn aan een DPIA-vereiste, en de DPIA dient te verwijzen naar het relevante RoPA-item.
%402x.svg){kind=small}
%402x.svg){kind=icon}
%402x.svg){kind=icon}
