Verwerkingsregister – GDPR

Het verwerkingsregister is met de nieuwe privacywet in mei 2018 in het leven geroepen. Het verwerkingsregister heeft als doel de dataflow in uw organisatie in kaart te brengen. Het is het perfecte instrument dat u meer inzichten geeft hoe uw onderneming met persoonsgegevens omgaat. Op een paar uitzonderingen na is een verwerkingsregister niet verplicht. Zowel de verwerkingsverantwoordelijke als de verwerker zullen een dataregister moeten bijhouden.

Verwerkingsregister – Voor wie?

Doordat dit een nieuw instrument is staan sommigen er niet bij stil dat dit een extra administratieve handeling is. Onderstaand een overzicht wanneer je dit dataregister nodig hebt.

  • Wie meer dan 250 personen in dienst heeft, moet een verwerkingsregister bijhouden.
  • Als je bijzondere categorieën van gegevens of gegevens ivm strafrechtelijke veroordelingen en strafbare feiten bijhoudt.
  • Als je een regelmatige (niet incidenteel) verwerking van persoonsgegevens verwerkt. Dit zoals een personeelsbestand, klantenbestand, mailinglijst enz…

Hoe moet zo’n verwerkingsregister eruit zien.

Hoe het er moet uit zien is niet van belang. Wat er minstens moet instaan wel.

  • Wie?
    – De naam en de contactgegevens van de verwerkingsverantwoordelijke (en zijn wettelijke vertegenwoordiger) en van de functionaris voor gegevensbescherming als u er een moet aanstellen.
  • Wat?
    – De categorieën verwerkte gegevens en de categorieën betrokken personen.
    – Dee zogenaamde gevoelige gegevens zoals de gezondheidsgegevens en gerechtelijke gegevens.
  • Waarom?
    – Identificeer de doeleinden waarvoor de gegevens worden ingezameld. Er moet een beschrijving gebeuren per doeleinde.  
  • Waar?
    – De categorieën bestemmelingen (ook indien ze in derde landen gevestigd zijn) naar waar de gegevens worden overgedragen.
    – De doorgiften aan een derde land of internationale organisatie en identificeer het land en in voorkomend geval  de bestaande passende waarborgen.
  • Wanneer?
    – Vermeld voor iedere categorie gegevens de bewaartermijn. De bewaartermijn moet niet noodzakelijk uitgedrukt worden in aantal dagen, maanden of jaren maar mag ook verwijzen naar de tijd die noodzakelijk is om een concreet project te realiseren.
  • Hoe?
    – Geef een algemene beschrijving van de ingevoerde technische en organisatorische beveiligingsmaatregelen die garanderen dat het beveiligingsniveau aan het risico is aangepast.

Model verwerkingsregister

U begrijpt dat als u de dataflow overzichtelijk in kaart wil brengen je wel eventjes bezig bent. Er bestaat een lijvig ontwerp in Excel van de Gegevensautoriteit zelf dat je kan gebruiken. Je kan ook zelf een light versie in Excel maken of zelfs in Word.

Als Data Protection Officer werken wij met een derde partij die een softwaretool aanbied. Dit is een gebruiksvriendelijke tool die vooral werkt met dropdown menu’s. Het laat je toe om zelf zaken toe te voegen. Dit werkt stukken vlotter dan een Excelbestand, sluit fouten uit, er zijn regelmatige updates, je gegevens zijn beveiligt tegen een datalek, en er zijn nog tal van andere voordelen. Het is te verkrijgen tegen een economische prijs.  Met uw eigen account kan u dit verwerkingsregister beheren. Bovendien kan ik als DPO dit voor u doen of het nazien.
Meer info en prijzen is uiteraard op aanvraag ter beschikking.

verwerkingsregister