GDPR blog - Het register van verwerkingen…

  1. 12 mrt 2018
  2. 0 reacties

03C18696_website

Op 25 mei is de nieuwe privacy wetgeving, de General Data Protection Regulation, van toepassing in alle Europese landen. Conform artikel 30 EU-AVG zijn organisaties vanaf 25 mei 2018 verplicht een register van verwerkingen aan te houden.

Naar verwachting zal dit register bij onderzoek door de Autoriteit Persoonsgegevens één van de eerste zaken zijn die een toezichthouder zal willen inzien.

Of u nou een verwerkingsverantwoordelijke bent of een verwerker, veelal een leverancier die iets met data doet, u moet een privacy administratie aanleggen. U moet dus een register van verwerkingen aanleggen. Dat register is een belangrijk instrument voor accountability. Achteraf kunnen aantonen dat u alles gedaan heeft om…

Alle persoonsgegevens die u verwerkt moet documenteren, met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Dit wordt het verwerkingenregister genoemd. U kunt het register nodig hebben als betrokkenen hun privacyrechten willen uitoefenen, bijvoorbeeld om een overzicht te hebben in welke systemen u hun gegevens allemaal bewaart als ze uit uw database willen worden gehaald, en het is zoals gezegd waarschijnlijk één van de eerste zaken die de Autoriteit Persoonsgegevens zal willen inzien. Dat register moet dan ook wel klaar staan zijn in mei.

U mag zelf bepalen hoe u het register opstelt, maar de wet schrijft wel voor dat de volgende informatie in het register moet zijn opgenomen:

  • de naam en contactgegevens van:
    • uw organisatie, of de vertegenwoordiger van uw organisatie;
    • eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld;
    • de Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld;
    • eventuele andere internationale organisaties waar u persoonsgegevens mee deelt.
  • de doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing;
  • een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten;
  • een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen;
  • de datum waarop u de gegevens moet wissen (als dat/deze bekend is);
  • de categorieën van ontvangers aan wie u persoonsgegevens verstrekt;
  • deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het register;
  • een algemene beschrijving van de technische en organisatorische maatregelen die u hebt/heeft genomen om persoonsgegevens die u verwerkt te beveiligen.

Voordat u zover bent dat u dit in een register kunt registreren moet de informatie natuurlijk ophalen uit uw organisatie. U kunt dit ook zien als een kans om eens echt goed te inventariseren wat u doet en welke maatregelen u heeft getroffen om boetes en imagoschade te voorkomen. Het (samenstellen van) het register vormt namelijk de basis voor alle privacybeleid en compliance in de toekomst.

Om tot een zo kwalitatief mogelijk register te komen kunt het beste interviews houden met functionarissen vanuit verschillende disciplines bij uw organisatie. Voorbeelden hiervan zijn functionele domeinen als IT, HR, Marketing, Operations, Facilitair, Finance, Credit Management. U brengt hiermee alle verwerkingen van persoonsgegevens, bijbehorende systemen en applicaties goed in kaart. Het verdient de aanbeveling om op systeemniveau te registreren in het verwerkingenregister: welke gegevens zitten in welk systeem, met welk doeleinde worden gegevens verwerkt, wat is de verwerkingsgrondslag, wat zijn de bewaartermijnen, aan welke derden worden de gegevens verstrekt en wat zijn de organisatorische en technische beveiligingsmaatregelen.

Al met al met een intensieve klus.

DMCC kan u helpen met het opstellen van dit register. Wij werken op basis van interviews in uw organisatie om zo tot een zo kwalitatief mogelijk register te komen. Wij werken graag met u samen! Neem contact met ons op via telefoon op 088 – 777 93 11 of stuur een e-mail naar info@dmcc.nl.

Meer over
Lees ook
GDPR blijft vragen oproepen

GDPR blijft vragen oproepen

Twee ervaren IT-ers schrijven boek over privacywetgeving De discussie rond dataprivacy is een van de bepalende vraagstukken van dit decennium. Europa heeft in dat kader beslist om met de General Data Protection Regulation (GDPR) een nieuwe regelgeving in te voeren. Zo wil de Europese Unie (EU) opnieuw een evenwicht vinden tussen het recht op priva1

Qualys wil GDPR-compliance stroomlijnen

Qualys wil GDPR-compliance stroomlijnen

Qualys introduceert nieuwe functionaliteit in zijn SAQ-cloudapp (Security Assessment Questionnaire). Hiermee krijgen klanten beter inzicht in de data in hun eigen netwerk en supply chain, wat nodig is voor naleving van de GDPR. Nieuwe GDPR-specifieke SAQ-templates en een speciaal daarvoor ontwikkeld dashboard stellen klanten in staat de kosten en1

Met Discovery- en Classificatie-tools worden ook oude IT-omgevingen compliant

Met Discovery- en Classificatie-tools worden ook oude IT-omgevingen compliant

GDPR is hier. Als het goed is, bent u nu helemaal klaar met de implementatie van gegevensbescherming en het verbeteren van de systeembeveiliging om te voldoen aan de strenge eisen binnen deze wetgeving. Maar hoe zit het met oude legacy-omgevingen? Zijn ook die inmiddels compliant? Met tools voor het ontdekken en classificeren van data is ook dit t1