GDPR blog - Het register van verwerkingen…
Op 25 mei is de nieuwe privacy wetgeving, de General Data Protection Regulation, van toepassing in alle Europese landen. Conform artikel 30 EU-AVG zijn organisaties vanaf 25 mei 2018 verplicht een register van verwerkingen aan te houden.
Naar verwachting zal dit register bij onderzoek door de Autoriteit Persoonsgegevens één van de eerste zaken zijn die een toezichthouder zal willen inzien.
Of u nou een verwerkingsverantwoordelijke bent of een verwerker, veelal een leverancier die iets met data doet, u moet een privacy administratie aanleggen. U moet dus een register van verwerkingen aanleggen. Dat register is een belangrijk instrument voor accountability. Achteraf kunnen aantonen dat u alles gedaan heeft om…
Alle persoonsgegevens die u verwerkt moet documenteren, met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Dit wordt het verwerkingenregister genoemd. U kunt het register nodig hebben als betrokkenen hun privacyrechten willen uitoefenen, bijvoorbeeld om een overzicht te hebben in welke systemen u hun gegevens allemaal bewaart als ze uit uw database willen worden gehaald, en het is zoals gezegd waarschijnlijk één van de eerste zaken die de Autoriteit Persoonsgegevens zal willen inzien. Dat register moet dan ook wel klaar staan zijn in mei.
U mag zelf bepalen hoe u het register opstelt, maar de wet schrijft wel voor dat de volgende informatie in het register moet zijn opgenomen:
- de naam en contactgegevens van:
- uw organisatie, of de vertegenwoordiger van uw organisatie;
- eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld;
- de Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld;
- eventuele andere internationale organisaties waar u persoonsgegevens mee deelt.
- de doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing;
- een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten;
- een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen;
- de datum waarop u de gegevens moet wissen (als dat/deze bekend is);
- de categorieën van ontvangers aan wie u persoonsgegevens verstrekt;
- deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het register;
- een algemene beschrijving van de technische en organisatorische maatregelen die u hebt/heeft genomen om persoonsgegevens die u verwerkt te beveiligen.
Voordat u zover bent dat u dit in een register kunt registreren moet de informatie natuurlijk ophalen uit uw organisatie. U kunt dit ook zien als een kans om eens echt goed te inventariseren wat u doet en welke maatregelen u heeft getroffen om boetes en imagoschade te voorkomen. Het (samenstellen van) het register vormt namelijk de basis voor alle privacybeleid en compliance in de toekomst.
Om tot een zo kwalitatief mogelijk register te komen kunt het beste interviews houden met functionarissen vanuit verschillende disciplines bij uw organisatie. Voorbeelden hiervan zijn functionele domeinen als IT, HR, Marketing, Operations, Facilitair, Finance, Credit Management. U brengt hiermee alle verwerkingen van persoonsgegevens, bijbehorende systemen en applicaties goed in kaart. Het verdient de aanbeveling om op systeemniveau te registreren in het verwerkingenregister: welke gegevens zitten in welk systeem, met welk doeleinde worden gegevens verwerkt, wat is de verwerkingsgrondslag, wat zijn de bewaartermijnen, aan welke derden worden de gegevens verstrekt en wat zijn de organisatorische en technische beveiligingsmaatregelen.
Al met al met een intensieve klus.
DMCC kan u helpen met het opstellen van dit register. Wij werken op basis van interviews in uw organisatie om zo tot een zo kwalitatief mogelijk register te komen. Wij werken graag met u samen! Neem contact met ons op via telefoon op 088 – 777 93 11 of stuur een e-mail naar info@dmcc.nl.
Meer over
Lees ook
Qualys Cloud Platform helpt bij beoordelen en beheren van GDPR-risico’s
Qualys biedt zijn klanten met zijn cloudplatform mogelijkheden om te voldoen aan de eisen van de General Data Protection Regulation (GDPR) van de Europese Unie. Met speciaal voor dit doel ontwikkelde profielen, workflows en rapportages hebben klanten continu inzicht in hun IT-assets en kunnen ze data verzamelen en risico’s evalueren. Hiermee zijn klanten niet alleen GDPR-compliant, maar helpt het ze persoonlijke informatie in IT-omgevingen en bij derde partijen over de gehele wereld voortdurend te beschermen. Als de GDPR van kracht is, moeten organisaties over de gehele wereld de persoonlijk1
GDPR Mobile Readiness Service van MobileIron helpt bedrijven aan GDPR te voldoen
MobileIron, leverancier van beveiligingsoplossingen, lanceert de General Data Protection Regulation (GDPR) Mobile Readiness Service. Via deze dienst helpt het MobileIron Professional Services-team klanten te beoordelen in hoeverre ze klaar zijn om aan de GDPR richtlijnen te voldoen en waar eventuele tekortkomingen liggen. Ook helpen ze bij het ops1
Data-detox: Kaspersky Lab helpt bedrijven data gezond te maken in aanloop naar GDPR deadline
Over ruim een jaar moeten bedrijven binnen de EU voldoen aan de Algemene Verordening Gegevensbescherming (AVG maar beter bekend als de GDPR). Daarom heeft Kaspersky Lab een online hub geïntroduceerd die ondernemingen helpt hun data gezond te maken en zakelijke welvaart op de lange termijn te bewerkstelligen. Met een evaluatietool om te meten in ho1