Naar privacy & gegevensbescherming

De GDPR Stap 2 : Inventariseren en register

Gepubliceerd op 09/03/18
De eerste stap is gezet. Een team (en eventueel een DPO) werd aangesteld en kan nu aan de slag gaan met het GDPR compliance project. Dit betekent dat de organisatie eerst alle verschillende verwerkingen in kaart zal moeten brengen.

Dit is geen eenvoudige stap wanneer dit nog nooit is gebeurd in het kader van de aangifteplicht die in de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (beter gekend als Privacywet) is voorgeschreven.

Vooraleer te bepalen welke verwerkingsdoeleinden er allemaal bestaan en welke registers een organisatie dient op te stellen, zal de onderneming eerst moeten inventariseren welke bedrijfsprocessen er zijn.

Denk als voorbeeld aan de acties die een organisatie onderneemt op het vlak van direct marketing. Dit kan via verschillende wegen (gebruik van cookies, via e-mails, per post) en via verschillende kanalen (zelf georganiseerd, gebruik van tools, online platformen of via derde leveranciers) waarbij mogelijks verschillende persoonsgegevens worden verwerkt. Het betreft echter één globaal doeleinde, nl. direct marketing.

De inventarisatie is ook een belangrijk element om te analyseren wat de mogelijke risico's zijn die gepaard gaan met het verwerken van de persoonsgegevens. Deze risico's hangen van een aantal factoren af zoals onder andere:

  • de aard en omvang van de gegevens (betreft enkel naam en contactgegevens van klanten van een KMO of naam, rijksregisternummer en gezondheidsgegevens van patiënten van een ziekenhuis);
  • de personen van wie de gegevens worden verwerkt (contactpersonen van klanten in B2B-context of patiënt);
  • de doeleinden van de verwerking;
  • de genomen technische en organisatorische veiligheidsmaatregelen;
  • de mogelijkheid / waarschijnlijkheid van een datalek of hack, enz.

De analyse van de risico's is belangrijk in het kader van andere verplichtingen onder de GDPR (bv. al dan niet aanstellen van een DPO of voeren van een effectbeoordeling (DPIA) waarover later meer).

Wanneer een register ?

De aangifteverplichting, zoals hierboven reeds aangetipt, is afgeschaft door de GDPR en vervangen door de plicht van iedere verwerkingsverantwoordelijke tot het bijhouden van een (intern) register. Er bestaat wel een uitzondering op deze verplichting, maar deze uitzondering is quasi volledig uitgehold. De uitzondering bestaat er in dat organisaties met minder dan 250 werknemers geen register moeten opstellen. Deze organisaties dienen alsnog een register op te stellen wanneer de verwerking:

  • een risico inhoudt voor de betrokkene,
  • gevoelige en/of strafrechtelijke persoonsgegevens betreft,
  • niet incidenteel is (dus verwerkingen die regelmatig gebeuren zijn wel op te nemen in een register).

Het komt er dus op neer dat iedere organisatie een register zullen moeten opstellen op een enkele uitzondering na.

Een register per verwerkingsdoeleinde en de inhoud ervan

Een organisatie (de verwerkingsverantwoordelijke) dient één register per verwerkingsdoeleinde op te stellen. Verwerkingsdoeleinden kunnen bijvoorbeeld zijn :

  • personeelsbeheer;
  • loonadministratie;
  • klantenbeheer;
  • direct marketing;
  • controle op het personeel door middel van e-mail en internetmonitoring, etc.

De organisatie dient minstens de volgende zaken in het register op te nemen:

  • naam en contactgegevens van de verwerkingsverantwoordelijke (de organisatie);
  • naam en contactgegevens van de Data Protection Officer, indien aangesteld;
  • verwerkingsdoeleinden (vb. personeelsbeheer, klantenbeheer, …);
  • beschrijving van de categorieën van betrokkenen (vb. werknemers, (contactpersonen van) klanten, zelfstandige dienstverleners, …);
  • beschrijving van de categorieën van persoonsgegevens (vb. identificatiegegevens; beroep; opleidingen; financiële gegevens; gezondheidsgegevens; politieke overtuiging, …);
  • categorieën van ontvangers van persoonsgegevens (vb. interne ontvangers (HR-departement); externe ontvangers (sociaal secretariaat, verzekeringen, …);
  • ontvangers gevestigd buiten de Europese Economische Ruimte (vb. Verenigde Staten van Amerika);
  • bewaartermijn van de categorieën van persoonsgegevens (1 jaar);
  • algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Het kan aangeraden zijn om nog bijkomende zaken in het register op te nemen aangezien deze toch moeten worden gecommuniceerd aan de betrokkene zoals bijvoorbeeld de juridische grondslag om persoonsgegevens te verwerken of de specifieke waarborgen bij het doorgeven van persoonsgegevens buiten de Europese Economische Ruimte.

Ook de verwerker is gehouden om een register van de verwerkingsactiviteiten op te stellen dat de volgende rubrieken dient te omvatten :

  • naam en contactgegevens van de verwerkers;
  • naam en contactgegevens van iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker de persoonsgegevens verwerkt;
  • categorieën van verwerkingen die voor rekening van de verwerkingsverantwoordelijke zijn uitgevoerd;
  • doorgifte van persoonsgegevens buiten de Europese Economische Ruimte;
  • algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen. 

Het register is een document dat de organisatie ter beschikking moet houden van de Gegevensbeschermingsautoriteit en dat in schriftelijke vorm waaronder elektronisch dient te bestaan. De autoriteit zal deze registers immers als eerste opvragen in geval van vragen over één of meerdere verwerkingen aangezien dit onmiddellijk een eerste zicht geeft over de verwerkingen binnen de organisatie. Het is dus een intern document dat niet moet worden gepubliceerd (bij de Gegevensbeschermingsautoriteit). 

Actiepunten :

  • maak een inventaris van de verschillende processen waarbij persoonsgegevens worden verwerkt;
  • analyseer de risico's op basis van een classificatie van de data in 'gewone' persoonsgegevens (naam en adres) en 'gevoelige' persoonsgegevens (vb. gezondheidsgegevens); de aard van de verwerkingsdoeleinden (vb. monitoring of online tracking); omvang van de verwerking (grote schaal); categorieën van personen van wie gegevens worden verwerkt (kinderen, werknemers, patiënten, …) en de informatiedragers;
  • groepeer de processen in verwerkingsdoeleinden;
  • stel een register op per verwerkingsdoeleinde. Een modelregister zit vervat in het GDPR Compass en is beschikbaar op aanvraag;
  • schriftelijk waaronder in elektronische vorm;
  • regelmatig updaten;
  • ter beschikking houden van de Gegevensbeschermingsautoriteit.

Lees ook de andere artikels in deze blogreeks:

Aanbevolen expert

Thomas Van Gremberghe
Expert Data Protection - Company Lawyer

Documenten

icon
Model - Bring Your Own Device (‘BYOD’) Policy (GDPR)

Dit model regelt het vrijwillig gebruik van pri

In Nederlands | 76.67 kB
icon
Model - Cookie policy (GDPR)

In deze policy wordt uiteengezet hoe het bedrij

In Nederlands | 4.34 MB
icon
Model - Procedure bij inbreuk persoonsgegevens (GDPR)

Na de implementatie van de Algemene Verordening

In Nederlands | 2.95 MB

Diensten

Advies - Privacy & gegevensbescherming

Moet u een data protection officer in huis hebben? En zo ja, mag dat eventueel een externe zijn? Is uw privacypolicy duidelijk genoeg? Onze experts staan klaar om u wegwijs te maken in databescherming en de GDPR.

Lees meer
Was dit artikel nuttig?

Gerelateerde artikels

Nieuws

Al gehoord van AI FOMO? Waarom ‘verantwoord implementeren’ belangrijker is dan ‘snel adopteren’

Thomas
Van Gremberghe
10/03/26
Info voor onze leden

Hoe een GDPR-conform contactbeleid voor arbeidsongeschikte werknemers voeren?

Thomas
Van Gremberghe
10/02/26
Info voor onze leden

Adequaatheidsbesluiten voor het VK vernieuwd en vrij verkeer van persoonsgegevens met Brazilië

Thomas
Van Gremberghe
07/01/26

Gerelateerde thema's