GDPR blog - Het register van verwerkingen…

  1. 12 mrt 2018
  2. 0 reacties

03C18696_website

Op 25 mei is de nieuwe privacy wetgeving, de General Data Protection Regulation, van toepassing in alle Europese landen. Conform artikel 30 EU-AVG zijn organisaties vanaf 25 mei 2018 verplicht een register van verwerkingen aan te houden.

Naar verwachting zal dit register bij onderzoek door de Autoriteit Persoonsgegevens één van de eerste zaken zijn die een toezichthouder zal willen inzien.

Of u nou een verwerkingsverantwoordelijke bent of een verwerker, veelal een leverancier die iets met data doet, u moet een privacy administratie aanleggen. U moet dus een register van verwerkingen aanleggen. Dat register is een belangrijk instrument voor accountability. Achteraf kunnen aantonen dat u alles gedaan heeft om…

Alle persoonsgegevens die u verwerkt moet documenteren, met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Dit wordt het verwerkingenregister genoemd. U kunt het register nodig hebben als betrokkenen hun privacyrechten willen uitoefenen, bijvoorbeeld om een overzicht te hebben in welke systemen u hun gegevens allemaal bewaart als ze uit uw database willen worden gehaald, en het is zoals gezegd waarschijnlijk één van de eerste zaken die de Autoriteit Persoonsgegevens zal willen inzien. Dat register moet dan ook wel klaar staan zijn in mei.

U mag zelf bepalen hoe u het register opstelt, maar de wet schrijft wel voor dat de volgende informatie in het register moet zijn opgenomen:

  • de naam en contactgegevens van:
    • uw organisatie, of de vertegenwoordiger van uw organisatie;
    • eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld;
    • de Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld;
    • eventuele andere internationale organisaties waar u persoonsgegevens mee deelt.
  • de doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing;
  • een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten;
  • een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen;
  • de datum waarop u de gegevens moet wissen (als dat/deze bekend is);
  • de categorieën van ontvangers aan wie u persoonsgegevens verstrekt;
  • deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het register;
  • een algemene beschrijving van de technische en organisatorische maatregelen die u hebt/heeft genomen om persoonsgegevens die u verwerkt te beveiligen.

Voordat u zover bent dat u dit in een register kunt registreren moet de informatie natuurlijk ophalen uit uw organisatie. U kunt dit ook zien als een kans om eens echt goed te inventariseren wat u doet en welke maatregelen u heeft getroffen om boetes en imagoschade te voorkomen. Het (samenstellen van) het register vormt namelijk de basis voor alle privacybeleid en compliance in de toekomst.

Om tot een zo kwalitatief mogelijk register te komen kunt het beste interviews houden met functionarissen vanuit verschillende disciplines bij uw organisatie. Voorbeelden hiervan zijn functionele domeinen als IT, HR, Marketing, Operations, Facilitair, Finance, Credit Management. U brengt hiermee alle verwerkingen van persoonsgegevens, bijbehorende systemen en applicaties goed in kaart. Het verdient de aanbeveling om op systeemniveau te registreren in het verwerkingenregister: welke gegevens zitten in welk systeem, met welk doeleinde worden gegevens verwerkt, wat is de verwerkingsgrondslag, wat zijn de bewaartermijnen, aan welke derden worden de gegevens verstrekt en wat zijn de organisatorische en technische beveiligingsmaatregelen.

Al met al met een intensieve klus.

DMCC kan u helpen met het opstellen van dit register. Wij werken op basis van interviews in uw organisatie om zo tot een zo kwalitatief mogelijk register te komen. Wij werken graag met u samen! Neem contact met ons op via telefoon op 088 – 777 93 11 of stuur een e-mail naar info@dmcc.nl.

Meer over
Lees ook
SAP SuccessFactors helpt HR-managers te voldoen aan AVG

SAP SuccessFactors helpt HR-managers te voldoen aan AVG

SAP breidt SAP SuccessFactors HCM Suite uit met geavanceerde functies voor gegevens- en privacybescherming. Deze maken het eenvoudiger voor hr-managers om te voldoen aan privacywetgeving zoals de Algemene verordening gegevensbescherming (AVG). De AVG, internationaal bekend als de General Data Protection Regulation (GDPR), is vanaf 25 mei 2018 van1

GDPR gaat niet alleen over gegevensbeveiliging

GDPR gaat niet alleen over gegevensbeveiliging

De datum 25 mei 2018 zal (hopelijk) bij bijna elke ondernemer en bij alle IT-professionals rood omcirkeld in de kalender staan. In publicaties als deze is al heel veel geschreven over de GDPR of de AVG. Aangezien de afkortingen staan voor General Data Protection Regulation en Algemene Verordening Gegevensbescherming, ligt de nadruk op het bescherm1

‘Ik word elke week tien keer gebeld door recruiters’

‘Ik word elke week tien keer gebeld door recruiters’

De opkomst van de functionaris gegevensbescherming De deadline voor de AVG nadert. De nieuwe Europese privacywet leidt tot een enorme vraag naar functionarissen voor de gegevensbescherming. Zij vervullen immers een sleutelrol in de naleving van de AVG. Hoe kijkt data protection officer Marc French van Mimecast tegen de FG-functie aan? En wat is vo1