Register van verwerkingen
Leer wat een register van de verwerkingsactiviteiten is.
Last updated
Was this helpful?
Leer wat een register van de verwerkingsactiviteiten is.
Last updated
Was this helpful?
Het register van de verwerkingsactiviteiten brengt alle verwerkingen van persoonsgegevens op een duidelijke en gestructureerde manier in kaart en vormt het uitgangspunt voor de controles van de Autoriteit Persoonsgegevens
Het register is vastgelegd in . Het helpt bij het documenteren van de naleving.
Als inventarisatie- en analysedocument moet het de realiteit van uw gegevensverwerking weerspiegelen en u in staat stellen om nauwkeurig vast te stellen :
de Stakeholders (vertegenwoordiger, Verwerkers, Verwerkingsverantwoordelijken, etc.) die betrokken zijn bij de gegevensverwerking,
de categorieën gegevensverwerking,
waarvoor de gegevens worden gebruikt** (wat u ermee doet), wie toegang heeft tot de gegevens en aan wie ze worden meegedeeld,
hoe lang u uw gegevens bewaart,
hoe veilig ze zijn.
Het register is verplicht gesteld door [artikel 30 van de AVG] (https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679). Naast het voldoen aan de verplichting van artikel 30 van de AVG, is het register een hulpmiddel voor het controleren en aantonen van uw naleving van de AVG.
Het stelt u in staat om uw gegevensverwerking te documenteren en uzelf de juiste vragen te stellen: heb ik deze gegevens echt nodig voor mijn verwerking? Heeft het zin om alle gegevens zo lang te bewaren? Zijn de gegevens voldoende beschermd? En ga zo maar door.
Het opstellen en bijwerken van een gegevensbeschermingsplan biedt de mogelijkheid om de risico's met betrekking tot de AVG te identificeren en te prioriteren. Met deze essentiële stap kunt u een actieplan opstellen om ervoor te zorgen dat uw Verwerking voldoet aan de regels voor gegevensbescherming.
Alle bedrijven die persoonsgegevens van Europese burgers verwerken, moeten een register bijhouden.
Artikel 30 van de AVG bevat specifieke verplichtingen voor het register van de verwerkingsverantwoordelijke van persoonsgegevens en voor het register van de verwerker. Als uw organisatie zowel als verwerker als als verwerkingsverantwoordelijke optreedt, moet uw register duidelijk onderscheid maken tussen de twee categorieën activiteiten.
In de praktijk raadt de Gegevensbeschermingsautoriteit aan om in dit geval 2 registers bij te houden:.
één voor de gegevensverwerking waarvoor u zelf verantwoordelijk bent,
een ander voor verwerkingen die u als subcontractant namens uw klanten uitvoert.
Voor elke Verwerking vermeldt het register van de Verwerkingsverantwoordelijke ten minste :
de doeleinden van de verwerking, het doel waarvoor u de gegevens hebt verzameld
de categorieën betrokkenen (klant, prospect, werknemer, enz.)
de persoonlijke gegevens (voorbeelden: identiteit, familie, economische of financiële situatie, bankgegevens, verbindingsgegevens, locatiegegevens, enz.)
de categorieën ontvangers aan wie de persoonsgegevens zijn of zullen worden meegedeeld, Begrepen de Verwerkers die u gebruikt
de doorgifte van persoonsgegevens naar een derde land of naar een internationale organisatie en, in bepaalde zeer specifieke gevallen, de garanties die voor dergelijke doorgiften worden gegeven;
de termijnen die zijn vastgesteld voor het wissen van de verschillende categorieën gegevens, d.w.z. de bewaartermijn, of anders de criteria voor het bepalen daarvan
voor zover mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die u toepast.
[Een "Verwerkingsverantwoordelijke" in Dastra]
De identiteit en contactgegevens van de Verwerkingsverantwoordelijke.
De identiteit en contactgegevens van de functionaris voor gegevensbescherming, indien van toepassing.
De identiteit en contactgegevens van de vertegenwoordiger, indien van toepassing
De gezamenlijke verwerkingsverantwoordelijke(n), indien van toepassing.
Alle doeleinden die verband houden met de activiteit van de Verwerking.
Nakoming van een wettelijke verplichting
Uitvoering van een contract
Gerechtvaardigd belang van het bedrijf of een derde
Algemeen belang
Toestemming
Bescherming van de vitale belangen van de betrokkene of een andere persoon.
Type betrokkenen
Categorieën van gegevens
Termijnen voor het wissen van gegevens of toepasselijke regel
Identificatie van ontvangers inclusief interne ontvangers (afdeling betrokken bij de Verwerking); externe organen (commerciële of institutionele partners); subcontractanten (host, solution provider); betrokkene indien van toepassing en gezamenlijk verantwoordelijken voor de verwerking
Voor elke ontvanger, identificatie van doorgiften buiten de Europese Economische Ruimte (EER) en de gebruikte juridische instrumenten (bindende bedrijfsregels in geval van doorgiften buiten de EU met dochterondernemingen, standaard contractuele clausules, land erkend als adequaat, enz.)
Technische en organisatorische maatregelen ter beveiliging van elke gegevensverwerking
Bijvoorbeeld gegevensversleuteling, pseudonimisering, toegangsbeperking, enz.
Elke subcontractant moet een minder uitgebreid register invullen;
Dit bevat:
de contactgegevens van de subcontractant, hun vertegenwoordiger indien van toepassing en hun DPO
de gegevens van alle Verwerkingsverantwoordelijken namens wie de subcontractant optreedt (meestal de klanten)
de categorieën gegevensverwerking
ontvangers
doorgiften buiten de EER
beveiligingsmaatregelen.
[Een "onderaannemer" verwerking in Dastra]
indien van toepassing, de naam en contactgegevens van de die wordt uitgevoerd