GDPR (7) Register van verwerkingen van persoonsgegevens

8 september 2017

In deze aflevering gaan we wat dieper in op de inhoud van het register van verwerkingen van persoonsgegevens. Alle verantwoordelijken houden best zo’n register bij, ook al is het voor kleine organisaties strikt gezien niet altijd verplicht.

De eerste stap is een eenvoudige lijst van persoonsgegevens waarmee je bedrijf of organisatie werkt. De Privacycommissie licht toe welke vereisten het register verder stelt en groepeert dit rond zes eenvoudige vragen: Wie? Waarom? Wat? Waar? Tot wanneer? Hoe? Op hun site vind je een korte samenvatting, een omstandige nota en sinds kort zelfs een modelregister dat je kan downloaden. We overlopen de zes vragen.

Wie?

Je register legt in de eerste plaats vast wie de verantwoordelijke is. Dat gaat dan om de correcte (contact)gegevens van je firma of organisatie en de naam en de gegevens van je Data Protection Officer. Als je die niet hebt, gaat het om de te contacteren persoon bij vragen, problemen, klachten of datalekken.

In grote organisaties is het nuttig te specificeren welke afdeling of persoon voor elke aparte set persoonsgegevens verantwoordelijk is. Deze verantwoordelijke zal immers het aanspreekpunt zijn om te helpen bij het invullen van de overige punten van het register.

Waarom?

Een heel belangrijke vraag is voor welk doel je persoonsgegevens gebruikt. Het basisprincipe van elke privacywetgeving en zeker van de GDPR is immers dat je enkel informatie verzamelt en verwerkt als dit strikt noodzakelijk is voor het gestelde doel. Om te communiceren met klanten en leveranciers heb je uiteraard contactgegevens nodig. Voor de sales- en marketingactiviteiten van je firma is het nodig namen en adressen te verzamelen. Bovendien is het wenselijk die basisgegevens te verrijken met extra informatie, zoals de geografische spreiding van klanten of de sector waarin ze actief zijn.

De Privacycommissie beklemtoont dat de doelstelling zo concreet mogelijk gemaakt moet worden en duidelijk de noodzaak moet aantonen om de betreffende informatie te verwerken. Als hulpmiddel is aan hun nota in bijlage een overzicht toegevoegd van doeleinden en nadere preciseringen.

Het is ook nuttig tegelijk te blijven stilstaan bij de wettelijke grond die je organisatie heeft om deze persoonsgegevens te verwerken, hoewel dit strikt gezien niet in het register hoeft opgenomen te worden. Dit gegeven zal in een aantal gevallen tot specifieke verplichtingen of te volgen procedures leiden. Deze aanduiding meteen aan het register toevoegen, zal het jezelf gemakkelijker maken later te controleren of je aan alle wettelijke verplichtingen voldoet.

Wat?

Vervolgens leg je voor elk doel vast van welke categorieën van personen de verwerkte persoonsgegevens afkomstig zijn, bijvoorbeeld je klanten, werknemers, bezoekers… Geef meteen ook aan over welke aantallen het ongeveer gaat, vermits dat een idee kan geven van de impact als er ooit een datalek ontstaat.

Vervolgens voeg je hieraan toe welke informatie je over deze personen bewaart en gebruikt: gaat het enkel om namen en adressen of verzamel je ook info over leeftijd, geslacht, functie, interesses… ? De toelichting van de Privacycommissie geeft in bijlage ook een lijst met mogelijke categorieën.

Het is heel belangrijk ook expliciet te vermelden of bepaalde informatie onder de speciale categorieën valt (zie aflevering twee van onze blog). Daarvoor gelden immers ook speciale regels en beperkingen. Dit geldt eveneens voor informatie die niet tot deze speciale categorieën behoort maar toch als gevoelig beschouwd kan worden, zoals bijvoorbeeld financiële informatie of gegevens over minderjarigen.

Waar?

Voor elk geïdentificeerd doel moet het register ook opsommen waar de verwerkte informatie terechtkomt. Dit kunnen natuurlijke personen zijn, maar ook een overheidsinstelling of een interne of externe verwerker. Alle bestemmelingen worden met naam en toenaam vermeld.

Een belangrijke aanvulling hierbij is of de informatie uitsluitend verwerkt wordt binnen de Europese Economische Ruimte. Als gegevens daarbuiten terechtkomen, moet je garanties hebben dat de persoonsgegevens eveneens adequaat beveiligd worden en de betrokkenen dezelfde rechten en bescherming genieten. Dit moet in het register aangetoond worden.

Tot wanneer?

Vermits gegevens enkel voor het beoogde doel gebruikt mogen worden, is het ook vanzelfsprekend dat ze niet langer bijgehouden worden dan noodzakelijk is voor dat doel. De Privacycommissie geeft aan dat je de bewaartermijnen niet altijd in een aantal dagen, maanden of jaren moet uitdrukken. Een formulering als ‘de wettelijk voorgeschreven bewaartermijn’ is ook mogelijk.

Hoe beschermen we de gegevens?

Als verantwoordelijke ben je onder de GDPR aansprakelijk voor de bescherming van de verwerkte persoonsgegevens. Je moet alle noodzakelijke maatregelen nemen om te voorkomen dat hun vertrouwelijkheid of integriteit in het gedrang komt. Ze mogen niet onterecht openbaar gemaakt worden of doorgegeven worden aan verkeerde bestemmelingen en ze mogen niet onrechtmatig gewijzigd worden.

Indien je dergelijk register zo volledig en secuur mogelijk hebt ingevuld, beschik je over een goede basis om aan te tonen dat je bewust met de verwerking van persoonsgegevens omgaat en je aansprakelijkheid ernstig neemt. Dit is tegelijk het vertrekpunt om nadien je eigen interne procedures uit te werken en te controleren of ze correct worden toegepast. Ten slotte zal het een goede hulp zijn bij het opstellen van een privacyverklaring.

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING