Data mapping en data flows volgens de GDPR

De GDPR beoogt een betere bescherming van natuurlijke personen en de persoonsgegevens die door ondernemingen verzameld worden. In dat kader legt de GDPR verschillende verplichtingen op, zoals het opstellen en onderhouden van een register van verwerkingsactiviteiten. In onze volgende blog post gaan wij dieper in op wat zo’n register van verwerkingsactiviteiten precies inhoudt en welke ondernemingen dergelijk register dienen bij te houden (spoiler alert: zo goed als elke onderneming zal onder deze verplichting vallen).

Maar vooraleer een onderneming dergelijk register kan invullen, dient de onderneming aan data mapping te doen. Data mapping heeft als doel data flows binnen een onderneming te identificeren, begrijpen en verzamelen.

Om de data mapping tot een goed einde te brengen, moet een onderneming zichzelf verschillende vragen stellen:

Welke types van persoonsgegevens houdt de onderneming bij?

Houdt u enkel contactgegevens en transactiedata bij? Of worden er ook speciale categorieën van persoonsgegevens bijgehouden, zoals bijvoorbeeld medische gegevens? Indien u ook speciale categorieën bijhoudt gelden immers strengere vereisten.

Voor welke doeleinden worden deze persoonsgegevens bijgehouden?

U kan, bijvoorbeeld, persoonsgegevens verwerken voor volgende doeleinden: boekhoudkundige verwerkingen, het uitvoeren van werknemersbeleid, het uitvoeren van een overeenkomst met de klant, enzovoort. Er zijn diverse mogelijkheden, dit moet echter op voorhand zo specifiek en concreet mogelijk gedefinieerd worden.

Op basis van welke juridische grondslag werden deze persoonsgegevens verzameld?

De GDPR maakt een onderscheid tussen zes mogelijke grondslagen. Waaronder, bijvoorbeeld, de toestemming of noodzaak om een overeenkomst uit te voeren. Er dient altijd gekeken te worden of de grondslag die u kiest overeenstemt met enerzijds de wettelijke vereisten, en anderzijds de doeleinden van de verwerking.

Over welke categorieën van betrokkenen gaat het?

Zijn het werknemers, leveranciers, dan wel klanten?

Welke softwaretoepassingen of processen maken gebruik van deze persoonsgegevens?

In een onderneming wordt immers vaak beroep gedaan op allerhande softwareprogramma’s, zoals een CRM systeem, een boekhoudpakket, file sharing diensten, e-mail programma’s, etc.

Waar bevinden deze persoonsgegevens zich fysiek?

Hiermee wordt de fysieke locatie van de servers waarop de persoonsgegevens staan bedoeld. Dit is van belang omdat persoonsgegevens enkel vrij mogen worden doorgegeven binnen de Europees Economische Ruimte. Indien persoonsgegevens buiten de Europees Economische Ruimte worden doorgegeven, moet de onderneming de nodige safeguards voorzien. Dit is mogelijks geen evidente vraag en zal enig onderzoek vragen, zeker wanneer de onderneming softwaretoepassingen in de cloud gebruikt.

Welke categorieën van ontvangers zijn er?

Dit kan bijvoorbeeld gaan om onderaannemers die de persoonsgegevens gebruiken om diensten uit te voeren. Ook met de ontvangers moeten de nodige afspraken maken.

Welke passende en technisch organisatorische maatregelen werden genomen om de persoonsgegevens te beschermen tegen datalekken?

Welke deze passende en technisch organisatorische maatregelen zijn, is afhankelijk van type verwerking en de verzamelde persoonsgegevens. Onder deze maatregelen vallen bijvoorbeeld, toegangsregels met betrekking tot de ruimtes van de onderneming, beveiligingsmaatregelen van toepassing op de software of hardware, etc.

Het naar behoren uitvoeren, documenteren en voltooien van deze oefening is onontbeerlijk voor elke onderneming om diens verplichtingen uit de GDPR te kunnen naleven. Afhankelijk van de grootte van de onderneming is dit al dan niet een evidente oefening. Er dient dus voldoende tijd en personeel (desgevallend van verschillende departementen binnen de onderneming) vrijgemaakt te worden om deze vragen op te lossen en de data flow in de onderneming in kaart te brengen.

Leave your Comment

Het e-mailadres wordt niet gepubliceerd.