Register van verwerkingsactiviteiten, wat betekent dit voor u?

Om de naleving van de GDPR te kunnen aantonen, dienen zowel de verwerkingsverantwoordelijke als de verwerker vanaf 25 mei 2018 een register bij te houden van de verwerkingsactiviteiten die onder zijn of haar verantwoordelijkheid hebben plaatsgevonden. Dit is één van de nieuwe verplichtingen die de GDPR uw onderneming oplegt en kadert in dit accountability principle, het principe dat overigens achter alle verplichtingen van de GDPR schuilgaat. Daarnaast is het een waardevolle informatiebron voor de toezichthoudende autoriteit in het kader van de controles die zij kan uitvoeren.

Meer concreet betekent het bijhouden van een register van verwerkingsactiviteiten dat uw onderneming, van zodra zij aan data mapping heeft gedaan, haar data flows in het register van verwerkingsactiviteiten in kaart brengt (meer over data mapping vind je in onze vorige blog).

De GDPR verduidelijkt dat de verplichting tot het bijhouden van een register van verwerkingsactiviteiten niet geldt voor ondernemingen of organisaties die bestaan uit minder dan 250 werknemers, tenzij zij één van de volgende verwerkingen van persoonsgegevens verrichten:

  • Verwerkingen die een risico inhouden voor de rechten en vrijheden van de betrokkenen, zoals bv. verwerkingen die kunnen leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, etc.;
  • Verwerkingen die niet-incidenteel gebeuren;
  • Verwerkingen van bijzondere categorieën van gegevens, zoals bv. gegevens waaruit ras, etnische afkomst, politieke opvattingen, genetische gegevens etc. blijken;
  • Verwerkingen van persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.

Wat onder ‘verwerkingen die niet-incidenteel gebeuren’ dient te worden verstaan, blijkt niet uit de GDPR. Dienaangaande verduidelijkte de Privacycommissie in haar aanbeveling van juni 2017 wel dat onder ‘incidentele verwerking’ dient te worden verstaan: ‘een verwerking van persoonsgegevens die wordt verricht bij gelegenheid, toevallig of onvoorzien’. Verwerkingen die verband houden met klantenbeheer, personeelsbeheer en leveranciersbeheer zijn bijgevolg verwerkingen die niet-incidenteel gebeuren. Door dergelijk ruime interpretatie dienen nagenoeg alle ondernemingen – én ja, zelfs ondernemingen met slechts 1 werknemer of geen werknemers, maar wel klanten en/of leveranciers – een register van verwerkingsactiviteiten bij te houden. Dergelijk register zal weliswaar eenvoudiger zijn, aangezien er minder verwerkingen uitgevoerd zullen worden . Niet onbelangrijk is het gegeven dat de Privacycommissie stelt dat incidentele verwerkingen niet opgenomen dienen te worden in het register.

Indien uw onderneming of organisatie toch meent dat zij geen register van verwerkingsactiviteiten moet bijhouden, is het – in het kader van het accountability principle van de onderneming – toch raadzaam om dit vanaf 25 mei 2018 te doen!

Zowel de verwerkingsverantwoordelijke, als de verwerker moeten een register opstellen, hetgeen bepaalde informatie over de verwerkingen zal bevatten. Zo moet het register van de verwerkingsverantwoordelijke minstens de volgende gegevens bevatten:

  • Wie?

De naam en de contactgegevens van de verwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming.

  • Waarom?

De doeleinden van de verwerking. Per verwerking moet een doeleinde worden geïdentificeerd, hetwelk helder en nauwkeuring omschreven moet worden.

Wat?

Een beschrijving van de categorieën van betrokkenen en van de categorieën van verwerkte persoonsgegevens ten aanzien van elk geïdentificeerde doeleinde.

Waar worden gegevens gelokaliseerd en/of doorgegeven?

De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, ook de ontvangers in landen die geen lid zijn van de Europese Unie, ten aanzien van elke geïdentificeerde doeleinde. Indien van toepassing, dient uw onderneming tevens de doorgiften van persoonsgegevens aan een derde land te vermelden.

Tot wanneer worden de persoonsgegevens bewaard?

De beoogde termijnen waarbinnen de verschillende persoonsgegevens moeten worden gewist.

Hoe worden de persoonsgegevens beveiligd?

Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die de onderneming heeft getroffen.

De verwerker dient tevens een register bij te houden van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke heeft verricht. Alleen de elementen die rechtstreeks relevant zijn voor de activiteit van de verwerker dienen in het register te worden opgenomen, m.n.

  • De naam en de contactgegevens van de verwerkers en van iedere verwerkingsverantwoordelijke voor wiens rekening de verwerker handelt;
  • De categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • Indien van toepassing, de doorgiften van persoonsgegevens aan een derde land;
  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

De Privacycommissie stelt op haar website een uitvoerig model ter beschikking dat kan worden geraadpleegd en kan dienen als leidraad. Het hoeft uiteraard geen betoog dat het opstellen en up-to-date houden van dit levend instrument een grote administratieve rompslomp is voor de onderneming. Begin dus tijdig en bereid u goed voor op deze nieuwe manier van werken.

Leave your Comment

Het e-mailadres wordt niet gepubliceerd.