GDPR (6) Inventaris persoonsgegevens en registerplicht

28 augustus 2017

Het beste beginpunt voor GDPR-compliancy is een goede inventaris van de persoonsgegevens die je als firma of organisatie bijhoudt en gebruikt. Wellicht moet je die informatie ook omzetten in een formeel Register van de verwerkingen van persoonsgegevens. Bepalen of dit Register in jouw geval verplicht is, kan een moeilijke zaak zijn. In deze aflevering proberen we hierover duidelijkheid te brengen.

Inventaris van persoonsgegevens

Grote organisaties zetten voor het inventariseren van hun persoonsgegevens gespecialiseerde software in, maar op zich kan een eenvoudige spreadsheet met de benodigde informatie even goed volstaan. Aan de hand van een gesprek met je verschillende afdelingen kom je al veel te weten.

  • welke persoonsgegevens verzamelen en/of gebruiken ze (welke categorieën gegevens, van welk type personen, over welk aantal betrokkenen)?
  • hoe worden de gegevens verwerkt (wat wordt ermee gedaan) en met welk doel?
  • met welke leverancier, partner of andere derde worden de gegevens gedeeld?
  • worden de data mogelijk buiten de EU getransporteerd?

Vervolgens moet je je de vraag stellen of de doelstelling van het gebruik van die informatie gerechtvaardigd is in vergelijking met het recht op privacy van de betrokkenen. Tenslotte ga je na welke bedreigingen er zijn voor het vrijwaren van de vertrouwelijkheid en integriteit van de gegevens en met welke maatregelen je ze beschermt. Deze vragen hoort elke verantwoordelijke voor het verwerken van persoonsgegevens zich sowieso te stellen.

Het resultaat van deze oefening levert meteen het merendeel van de informatie op die je nodig hebt voor een register van de verwerkingen van persoonsgegevens, een nieuwe verplichting van de GDPR.

Register van verwerkingen van persoonsgegevens

De huidige, ‘oude’ privacywet kent een aangifteplicht van geautomatiseerde verwerkingen van persoonsgegevens aan de toezichthoudende autoriteit. In België is dat de Commissie voor bescherming van de persoonlijke levenssfeer (CBPL), meestal kortweg de Privacycommissie genoemd. Die informatie wordt in een publiek register opgenomen, dat iedereen kan raadplegen. Maar het meest courante gebruik van persoonsgegevens is hiervan vrijgesteld, bijvoorbeeld personeelsbeheer, loonadministratie en boekhouding, klanten- en leveranciersbeheer, contactgegevens (zonder bijkomende informatie), ledenlijsten van verenigingen, studentenadministratie… Daardoor moeten de meeste organisaties geen aangifte doen.

Met de GDPR verandert dat en moet de verantwoordelijke voor de verwerking zelf een register bijhouden. Dat register moet digitaal zijn en moet snel en gemakkelijk kunnen worden voorgelegd bij een audit door de Privacycommissie of in het kader van het onderzoek naar een klacht of een datalek. Het moet aantonen dat de verantwoordelijke een duidelijk overzicht heeft van de persoonsgegevens die hij verwerkt. Hij bewijst ermee dat hij heeft nagedacht over zijn recht om deze verwerkingen te doen en dat hij de informatie afdoende beveiligt.

Een ander verschil met de huidige privacywet is dat de GDPR zich niet beperkt tot geautomatiseerde gegevensverwerking en geen uitzondering meer maakt voor de ‘courant gebruikte persoonsgegevens’.

Voor wie geldt de registerplicht?

Voor kleine organisaties wordt tot op zekere hoogte een uitzondering gemaakt op deze registerplicht, maar de GDPR is hierover niet heel duidelijk. Daarom heeft de Privacycommissie onlangs (op 14 juni 2017) een uitgebreide aanbeveling gepubliceerd, waarvan we hier de belangrijkste punten samenvatten.

  • Elke verantwoordelijke (en verwerker – maar daarover later meer), ongeacht of het een firma, een overheidsorganisatie, een vereniging of een natuurlijke persoon is, moet een register van de verwerkingen van persoonsgegevens bijhouden.
  • Voor organisaties met minder dan 250 werknemers (en minder dan 50 miljoen euro omzet) wordt echter een uitzondering gemaakt. Dit standpunt strookt eigenlijk niet met de geest van de wetgeving, vermits alle maatregelen moeten voortvloeien uit de risicoanalyse. Het verwerken van persoonsgegevens in een kleine organisatie kan evenveel of meer risico inhouden. Daarom zijn er een hele reeks bijkomende gevallen waar de registerplicht toch blijft bestaan, ook voor de KMO.
  • De registerplicht kan niet wegvallen als
    • speciale categorieën van persoonsgegevens of gegevens van extra kwetsbare personen zoals kinderen verwerkt worden
    • de verwerking risico’s inhoudt voor de rechten en vrijheden van individuen en dus kan leiden tot ernstige lichamelijke, materiële of immateriële schade. De aanbeveling geeft een aantal voorbeelden: als er risico is op het schenden van vertrouwelijkheid van financiële info of gegevens die door beroepsgeheim beschermd worden, als er risico is op identiteitsdiefstal of fraude, als gegevens omtrent gezondheid, persoonlijkheid, gedrag, verplaatsingen enz. gebruikt worden om persoonlijke profielen op te stellen
    • de betrokkene niet de mogelijkheid heeft zijn persoonlijke rechten uit te oefenen en dus geen controle heeft
    • een verantwoordelijke de persoonsgegevens niet incidenteel maar structureel verwerkt, waarmee bedoeld wordt dat niet toevallig of eenmalig informatie verwerkt wordt, maar ‘gewoonlijk’. Als voorbeeld geeft de nota informatie over klanten, leveranciers, werknemers.

Zoals je ziet blijft het een erg moeilijke afbakening. Elke organisatie heeft wel één of ander gegeven dat bij schending van de vertrouwelijkheid schade kan toebrengen en elke organisatie houdt sommige gegevens structureel bij. De Privacycommissie raadt dan ook aan dat elke firma en organisatie een register bijhoudt, maar dat zo’n register bij KMO’s beperkt mag blijven tot de gegevens die structureel worden verwerkt. In een kleine firma of organisatie blijft de oefening daardoor nog relatief beperkt.

Hoe dit register er verder moet uitzien en wat er over elke verwerking in moet worden opgenomen, behandelen we in de volgende aflevering van de blog.

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

Gerelateerd nieuws
LOADING