Om aan AVG te voldoen, is het eerste wat u dient te doen een overzicht aan te leggen van al uw gegevensverwerkingsactiviteiten - we noemen dit een verwerkingsregister.
Ga aan de slag met het verwerkingsregister
In de administratie van uw verwerkingsactiviteiten moet u de volgende informatie vermelden (Artikel 30 AVG):
- naam en contactgegevens van de verantwoordelijke (= verantwoordelijke persoon)
- indien van toepassing: naam en contactgegevens van de vertegenwoordiger van de verantwoordelijke voor de verwerking en functionaris voor gegevensbescherming
- het doel van de gegevensverwerking:
boekhouding, marketing, nieuwsbrief, salarisadministratie, videobewaking,... - juridische basis:
wettelijke verplichting, contractvervulling, legitiem belang van controller, toestemming, ... - gegevenscategorieën:
werknemers, klanten, leveranciers, geïnteresseerde mensen, ...
en categorieën van persoonlijke gegevens:
naam, adres, IP-adres, geboortedatum, ...
boekhouding, marketing, nieuwsbrief, salarisadministratie, videobewaking, ... - categorieën van ontvangers:
hostingprovider, cloudopslag, externe accountants, juridische autoriteiten, ... - indien van toepassing: doorgifte van gegevens aan derde landen of internationale organisaties en passende waarborgen
- deadlines voor verschillende gegevenscategorieën verwijderen:
boekhoudingsdocumenten voor 7 jaar, website-interesses voor 1 jaar, ... - algemene beschrijving van technische en organisatorische beveiligingsmaatregelen:
codering, pseudonimisering, back-up, toegangscontrole, ...
Deze gegevens vormen samen een verwerkingsregister dat u moet maken en bijhouden om te voldoen aan de EU AVG. Dit vormt de basis voor alle verdere analyse, informatie en documentatie.
Als u gegevens verwerkt voor andere bedrijven, bent u - in termen van AVG - een verwerker namens de oorspronkelijke verantwoordelijke (controller). In dit geval moet u een register bijhouden van alle verwerkingsactiviteiten die u uitvoert namens de verantwoordelijke. Dit verwerkingsregister moet uit de volgende inhoud bestaan:
- naam en contactgegevens van de verwerker
- naam en contactgegevens van de verantwoordelijke namens welke de processor handelt
- indien van toepassing: naam en contactgegevens van de vertegenwoordiger en functionaris voor gegevensbescherming
- categorieën van verwerking
- indien van toepassing: doorgifte van gegevens aan derde landen of internationale organisaties en passende waarborgen
- algemene beschrijving van technische en organisatorische beveiligingsmaatregelen
Verwerkingsregister voltooid ... en nu?
Tijdens het maken en vastleggen van uw activiteiten, zult u ontdekken wat voor soort gegevens u verwerkt. Voor AVG moet u er via technische en organisatorische maatregelen (TOM) voor zorgen dat deze persoonlijke gegevens op een veilige manier worden opgeslagen, verzonden, verwerkt, ...
Vooral indien u:
- grote hoeveelheden gegevens verwerkt of
- speciale categorieën gegevens (Artikel 9 AVG) of
- er is een groot risico voor vrijheid en rechten van natuurlijke personen
dan dient u een DPIA te implementeren. In alle andere gevallen moet u een DPIA uitvoeren als er een hoog risico is in een verwerkingsactiviteit.
Na maken van het verwerkingsregister weet u ook met welke verwerkers u een contract moet afsluiten om passende technische en organisatorische maatregelen voor gegevensbescherming en veiligheid te garanderen.
U zult ook al uw openbare verklaringen over gegevensverwerking moeten controleren en u moet ervoor zorgen dat u de mensen van tevoren op de hoogte stelt wanneer u hun persoonlijke gegevens verzamelt of verwerkt. Als u persoonlijke gegevens van een derde partij ontvangt, moet u betrokkenen informeren over de gegevensverwerkingsactiviteit voordat u deze voor de eerste keer verwerkt, tenminste binnen een maand.
