Vlaams Artsensyndicaat vzw

Afd. Antwerpen, Limburg en Vlaams-Brabant

Login

  1. Home
  2. STAP 5 - Stel een verwerkingsregister op

STAP 5 - Stel een verwerkingsregister op

De vorige 4 stappen waren niet alleen nodig om na te gaan of u persoonsgegevens op een correcte manier verwerkt, ze waren ook nodig om te kunnen voldoen aan een nieuwe verplichting die de GDPR oplegt: het bijhouden van een ‘Register van Verwerkingsactiviteiten’.

Wat is het Register?
Hoe moet zo’n Register er uit zien?
Hoe vult u dit VAS Model Register in?

Wat is het Register?

Het Register is een puur intern document, dat documenteert op welke manier u persoonsgegevens verwerkt. Het moet dus niet openbaar gemaakt worden, maar bij een eventuele controle moet u het wel kunnen voorleggen. Daarnaast is het Register ook een handig hulpmiddel wanneer iemand vraagt welke gegevens u juist over hem verwerkt, of vraagt om geschrapt te worden uit uw bestanden.

terug

Hoe moet zo’n Register er uit zien?

Het staat u volledig vrij om zelf te bepalen op welke manier u het Register opmaakt.  U moet er alleen rekening mee houden dat de volgende elementen steeds in het Register moeten opgenomen worden:

Verplichte vermeldingen

  • Uw naam en contactgegevens
  • Indien van toepassing: naam en contactgegevens van de DPO
  • De doeleinden van de verwerking
  • Eventueel: [de verwerkingsactiviteiten]
  • [De juridische basis]
  • Een beschrijving van de categorieën van betrokkenen
  • Een beschrijving van de categorieën van persoonsgegevens
  • De categorieën van ontvangers ( personen aan wie gegevens worden doorgegeven)
  • Eventuele doorgiften aan derde landen
  • De bewaartermijn van de gegevens
  • De technische en organisatorische beveiligingsmaatregelen

 

U zal merken dat u de meeste zaken die in het Register moeten komen, al in kaart heeft gebracht in de vorige stappen. Op zich kan u dus volstaan om de informatie die u in de vorige vier stappen heeft vergaard, in een Register in te schrijven. U kan echte.r ook gebruik maken van het Model dat het VAS i.s.m. Arcas Law ter beschikking stelt.

Het register moet opgemaakt worden op basis van uw specifieke situatie. Omdat we weten dat het invullen van een register geen evidentie is, vindt u in het model register een aantal doeleinden ingevuld. Hou er rekening mee dat u ook in dit geval het modelregister moet aanpassen aan uw concrete situatie en eventuele doeleinden zal moeten toevoegen dan wel weglaten.

terug

Hoe vult u dit VAS Model Register in?

Tabblad ‘Algemene Info’

Dit tabblad bevat drie kolommen: ‘verwerkingsverantwoordelijke’, ‘verwerker’ en ‘ functionaris voor gegevensbescherming’.

U kan zoals gezegd gegevens verwerken als ‘verwerkingsverantwoordelijke’ of als ‘verwerker’. Als u optreedt als ‘verwerker’ voor iemand anders, moet u daar een afzonderlijk register voor bijhouden. U maakt dan één register voor uw activiteiten als verwerkingsverantwoordelijke, en één voor uw activiteiten als verwerker.

Treedt u niet op als verwerker voor iemand anders, dan vult u enkel de kolom ‘verwerkingsverantwoordelijke’ in, en laat u de kolom ‘verwerker’ achterwege.

De kolom ‘functionaris voor gegevensbescherming’ is enkel nodig wanneer u zo’n functionaris moet aanstellen ( zie verder, stap 9).

‘Register’

In het Register zelf vindt u per doeleinde een tabblad. In elk tabblad zijn de elementen voorzien die volgens de GDPR zouden moeten opgenomen worden in het Register:

  1. [Verwerkingsactiviteit)
  2. [Rechtsgrond]
  3. Categorieën betrokkenen
  4. Categorieën gegevens
  5. Bewaringstermijn
  6. Technische en organisatorische beveiligingsmaatregelen
  7. Categorieën ontvangers
  8. Doorgiften          

 

Toelichting bij de diverse rubrieken

1.Verwerkingsactiviteit

Volgens de GDPR is het niet verplicht deze rubriek te voorzien. We voorzien de rubriek hier echter toch, omdat het soms handig kan zijn om binnen een bepaald doeleinde wat meer in detail te omschrijven welke activiteiten juist plaatsvinden binnen dat doeleinde. Het kan immers zijn dat u verschillende rechtsgronden gebruikt binnen een bepaald doeleinde, of gegevens van verschillende soorten betrokkenen die gekoppeld zijn aan de activiteit.

Bijvoorbeeld:

  • Binnen het doeleinde ‘personeelsadministratie’ zijn er bijvoorbeeld (minstens) de volgende ‘verwerkingsactiviteiten’, die elk een eigen juridische grondslag hebben:
    • Evaluatie / opleiding en Vorming
    • Uitbetaling van lonen
    • Controle van online communicatiemiddelen
    • Sollicitantenbeheer
  • Binnen het doeleinde ‘Patiëntenzorg’, kunnen er in principe ook verschillende activiteiten zijn:
    • Registratie van patiënten bij hun bezoek
    • Aanleggen van een patiëntendossier
    • Behandeling van patiënten ( diagnose, preventie, remediëring, …)

Door te werken met verschillende verwerkingsactiviteiten binnen een doeleinde, kan u dus in uw Register iets meer in detail gaan.

2. Rechtsgrond

In deze rubriek voegt u voor elke categorie van gegevens de juridische grondslag toe die u in Stap 2 bepaald heeft. 

3. Categorieën betrokkenen

In deze rubriek voegt u het overzicht toe dat u in Stap 1 heeft gemaakt van de personen van en over wie er persoonsgegevens worden verwerkt (de ‘betrokkenen’). Zoals gezegd volstaat het te werken met algemene categorieën. Bij ‘leveranciersbeheer’ waarschijnlijk gewoon ‘leveranciers’.

Bij een aantal andere doeleinden kan het zijn dat u meerdere categorieën moet invullen. Bijvoorbeeld:

Het doeleinde ‘patiëntenzorg’ zal mogelijks niet enkel gegevens bevatten van patiënten, maar ook van vertegenwoordigers en vertrouwenspersonen.
Het doeleinde ‘personeelsadministratie’ zal niet enkel gegevens van werknemers bevatten, maar bijvoorbeeld ook van sollicitanten of gepensioneerde werknemers.
Het doeleinde ‘boekhouding’ zal zowel gegevens van ‘patiënten’ als van ‘leveranciers’ bevatten.

4. Categorieën gegevens

In deze rubriek voegt u het overzicht toe dat u in Stap 1 heeft gemaakt van de soorten persoonsgegevens die u binnen elk doeleinde verwerkt.  Ook hier volstaat het te werken met algemene categorieën.

5. Bewaringstermijn

In deze rubriek voegt u voor elke categorie van gegevens de bewaartermijn toe die u in Stap 3 bepaald heeft.  Zoals gezegd moet u minstens de criteria aangeven die worden gebruikt om die termijn te bepalen. Indien mogelijk, bepaalt u de concrete bewaartermijn.

TIP:

  • Voor gegevens die nodig zijn om een overeenkomst uit te voeren, zal in de regel een bewaartermijn van 10 jaar na het einde van de overeenkomst gerechtvaardigd kunnen worden (= contractuele verjaringstermijn); dit is dan ook de bewaartermijn die u voorziet in het doeleinde ‘leveranciersbeheer’. Kijk dit wel na voor uw situatie: kent de u de juiste verjaringstermijn niet, neem dan geen risico en zeg ‘einde overeenkomst + contractuele verjaringstermijn’;
  • Gegevens in verband met personeel moeten in elk geval minstens 5 jaar na het einde van de arbeidsrelatie bewaard worden, maar vraag aan uw sociaal secretariaat welke bewaartermijnen in uw geval kunnen gelden;
  • Documenten die bewaard worden binnen het doeleinde ‘boekhouding’, moeten op basis van een wettelijke verplichting 7 jaar bewaard worden;
  • Documenten uit het patiëntendossier moeten 30 jaar bewaard worden na het laatste patiëntencontact.

 

6. Technische en organisatorische beveiligingsmaatregelen

In deze rubriek voegt u het overzicht van beveiligingsmaatregelen toe dat u in Stap 4 heeft gemaakt.  Indien u binnen een doeleinde (of verwerkingsactiviteit) gevoelige gegevens verwerkt, doet u er best aan te omschrijven welke extra beveiligingsmaatregelen u juist neemt in dat verband.

7. Categorieën ontvangers

In deze rubriek voegt u het overzicht toe dat u in Stap 3 heeft gemaakt van de derde partijen aan wie u gegevens doorgeeft (inclusief de ‘verwerkers’) die u binnen elk doeleinde verwerkt.  Ook hier volstaat het te werken met algemene categorieën, en bent u dus niet verplicht elke verwerker afzonderlijk te vernoemen. In praktijk wil dat zeggen dat u meestal enkel ‘verwerkers’ moet vermelden (in sommige gevallen ook ‘overheid’).

8. Doorgiften        

In deze rubriek voegt u voor elke categorie van gegevens toe of u de gegevens doorgeeft aan derde landen (zie stap 4):

Geeft u inderdaad gegevens door aan een derde land (bijvoorbeeld omdat u werkt met een softwarepakket waarvan de servers in zo’n derde land staan), dan schrijft u in de subrubriek ‘aard van de doorgifte’ één van de volgende mogelijkheden:

 

terug

terug naar het overzicht

Het Vlaams Artsensyndicaat is er voor u!

Uw steun en belangen doorheen uw loopbaan als arts

Bekijk wat we voor u als syndicaat kunnen doen