Definitie van een verwerkingsregister

Het register van de verwerkingsactiviteiten brengt alle verwerkingen van persoonsgegevens op een duidelijke en gestructureerde manier in kaart en vormt het uitgangspunt voor de controles van de Autoriteit Persoonsgegevens

Het register is vastgelegd in artikel 30 van de AVG. Het helpt bij het documenteren van de naleving.

Als inventarisatie- en analysedocument moet het de realiteit van uw gegevensverwerking weerspiegelen en u in staat stellen om nauwkeurig vast te stellen :

• de Stakeholders (vertegenwoordiger, Verwerkers, Verwerkingsverantwoordelijken, etc.) die betrokken zijn bij de gegevensverwerking,

• de categorieën gegevensverwerking,

• waarvoor de gegevens worden gebruikt** (wat u ermee doet), wie toegang heeft tot de gegevens en aan wie ze worden meegedeeld,

• hoe lang u uw gegevens bewaart,

• hoe veilig ze zijn.

Waarom een register gebruiken?

Het register is verplicht gesteld door [artikel 30 van de AVG] (https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679). Naast het voldoen aan de verplichting van artikel 30 van de AVG, is het register een hulpmiddel voor het controleren en aantonen van uw naleving van de AVG.

Het stelt u in staat om uw gegevensverwerking te documenteren en uzelf de juiste vragen te stellen: heb ik deze gegevens echt nodig voor mijn verwerking? Heeft het zin om alle gegevens zo lang te bewaren? Zijn de gegevens voldoende beschermd? En ga zo maar door.

Het opstellen en bijwerken van een gegevensbeschermingsplan biedt de mogelijkheid om de risico's met betrekking tot de AVG te identificeren en te prioriteren. Met deze essentiële stap kunt u een actieplan opstellen om ervoor te zorgen dat uw Verwerking voldoet aan de regels voor gegevensbescherming.

Voor welke bedrijven geldt de verplichting om een register in te vullen?

Alle bedrijven die persoonsgegevens van Europese burgers verwerken, moeten een register bijhouden.

Inhoud van het register van verwerkingen

Artikel 30 van de AVG bevat specifieke verplichtingen voor het register van de verwerkingsverantwoordelijke van persoonsgegevens en voor het register van de verwerker. Als uw organisatie zowel als verwerker als als verwerkingsverantwoordelijke optreedt, moet uw register duidelijk onderscheid maken tussen de twee categorieën activiteiten.

In de praktijk raadt de Gegevensbeschermingsautoriteit aan om in dit geval 2 registers bij te houden:.

1. één voor de gegevensverwerking waarvoor u zelf verantwoordelijk bent,

2. een ander voor verwerkingen die u als subcontractant namens uw klanten uitvoert.

Het "Verwerkingsverantwoordelijke" register in Dastra

Voor elke Verwerking vermeldt het register van de Verwerkingsverantwoordelijke ten minste :

1. indien van toepassing, de naam en contactgegevens van de gezamenlijk verantwoordelijke voor de verwerking die wordt uitgevoerd

2. de doeleinden van de verwerking, het doel waarvoor u de gegevens hebt verzameld

3. de categorieën betrokkenen (klant, prospect, werknemer, enz.)

4. de persoonlijke gegevens (voorbeelden: identiteit, familie, economische of financiële situatie, bankgegevens, verbindingsgegevens, locatiegegevens, enz.)

5. de categorieën ontvangers aan wie de persoonsgegevens zijn of zullen worden meegedeeld, Begrepen de Verwerkers die u gebruikt

6. de doorgifte van persoonsgegevens naar een derde land of naar een internationale organisatie en, in bepaalde zeer specifieke gevallen, de garanties die voor dergelijke doorgiften worden gegeven;

7. de termijnen die zijn vastgesteld voor het wissen van de verschillende categorieën gegevens, d.w.z. de bewaartermijn, of anders de criteria voor het bepalen daarvan

8. voor zover mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die u toepast.

[Een "Verwerkingsverantwoordelijke" in Dastra]

De actoren

• De identiteit en contactgegevens van de Verwerkingsverantwoordelijke.

• De identiteit en contactgegevens van de functionaris voor gegevensbescherming, indien van toepassing.

• De identiteit en contactgegevens van de vertegenwoordiger, indien van toepassing

• De gezamenlijke verwerkingsverantwoordelijke(n), indien van toepassing.

Doeleinden

• Alle doeleinden die verband houden met de activiteit van de Verwerking.

Rechtsgrondslag

• Nakoming van een wettelijke verplichting

• Uitvoering van een contract

• Gerechtvaardigd belang van het bedrijf of een derde

• Algemeen belang

• Toestemming

• Bescherming van de vitale belangen van de betrokkene of een andere persoon.

Inventaris van gegevens en betrokkenen

• Type betrokkenen

• Categorieën van gegevens

• Termijnen voor het wissen van gegevens of toepasselijke regel

Ontvangers en doorgiften van gegevens buiten de EER

• Identificatie van ontvangers inclusief interne ontvangers (afdeling betrokken bij de Verwerking); externe organen (commerciële of institutionele partners); subcontractanten (host, solution provider); betrokkene indien van toepassing en gezamenlijk verantwoordelijken voor de verwerking

• Voor elke ontvanger, identificatie van doorgiften buiten de Europese Economische Ruimte (EER) en de gebruikte juridische instrumenten (bindende bedrijfsregels in geval van doorgiften buiten de EU met dochterondernemingen, standaard contractuele clausules, land erkend als adequaat, enz.)

Beveiligingsmaatregelen

• Technische en organisatorische maatregelen ter beveiliging van elke gegevensverwerking

• Bijvoorbeeld gegevensversleuteling, pseudonimisering, toegangsbeperking, enz.

Het register "subcontractant" in Dastra

Elke subcontractant moet een minder uitgebreid register invullen;

Dit bevat:

• de contactgegevens van de subcontractant, hun vertegenwoordiger indien van toepassing en hun DPO

• de gegevens van alle Verwerkingsverantwoordelijken namens wie de subcontractant optreedt (meestal de klanten)

• de categorieën gegevensverwerking

• ontvangers

• doorgiften buiten de EER

• beveiligingsmaatregelen.

[Een "onderaannemer" verwerking in Dastra]

Om verder te gaan