STAP 5 - Stel een verwerkingsregister op
Wat is het Register?
Hoe moet zo’n Register er uit zien?
Hoe vult u dit VAS Model Register in?
Wat is het Register?
Het Register is een puur intern document, dat documenteert op welke manier u persoonsgegevens verwerkt. Het moet dus niet openbaar gemaakt worden, maar bij een eventuele controle moet u het wel kunnen voorleggen. Daarnaast is het Register ook een handig hulpmiddel wanneer iemand vraagt welke gegevens u juist over hem verwerkt, of vraagt om geschrapt te worden uit uw bestanden.
terug
Hoe moet zo’n Register er uit zien?
Het staat u volledig vrij om zelf te bepalen op welke manier u het Register opmaakt. U moet er alleen rekening mee houden dat de volgende elementen steeds in het Register moeten opgenomen worden:
Verplichte vermeldingen
|
U zal merken dat u de meeste zaken die in het Register moeten komen, al in kaart heeft gebracht in de vorige stappen. Op zich kan u dus volstaan om de informatie die u in de vorige vier stappen heeft vergaard, in een Register in te schrijven. U kan echte.r ook gebruik maken van het Model dat het VAS i.s.m. Arcas Law ter beschikking stelt.
Het register moet opgemaakt worden op basis van uw specifieke situatie. Omdat we weten dat het invullen van een register geen evidentie is, vindt u in het model register een aantal doeleinden ingevuld. Hou er rekening mee dat u ook in dit geval het modelregister moet aanpassen aan uw concrete situatie en eventuele doeleinden zal moeten toevoegen dan wel weglaten.
Hoe vult u dit VAS Model Register in?
Tabblad ‘Algemene Info’
Dit tabblad bevat drie kolommen: ‘verwerkingsverantwoordelijke’, ‘verwerker’ en ‘ functionaris voor gegevensbescherming’.
U kan zoals gezegd gegevens verwerken als ‘verwerkingsverantwoordelijke’ of als ‘verwerker’. Als u optreedt als ‘verwerker’ voor iemand anders, moet u daar een afzonderlijk register voor bijhouden. U maakt dan één register voor uw activiteiten als verwerkingsverantwoordelijke, en één voor uw activiteiten als verwerker.
Treedt u niet op als verwerker voor iemand anders, dan vult u enkel de kolom ‘verwerkingsverantwoordelijke’ in, en laat u de kolom ‘verwerker’ achterwege.
De kolom ‘functionaris voor gegevensbescherming’ is enkel nodig wanneer u zo’n functionaris moet aanstellen ( zie verder, stap 9).
‘Register’
In het Register zelf vindt u per doeleinde een tabblad. In elk tabblad zijn de elementen voorzien die volgens de GDPR zouden moeten opgenomen worden in het Register:
- [Verwerkingsactiviteit)
- [Rechtsgrond]
- Categorieën betrokkenen
- Categorieën gegevens
- Bewaringstermijn
- Technische en organisatorische beveiligingsmaatregelen
- Categorieën ontvangers
- Doorgiften
Toelichting bij de diverse rubrieken
1.Verwerkingsactiviteit
Volgens de GDPR is het niet verplicht deze rubriek te voorzien. We voorzien de rubriek hier echter toch, omdat het soms handig kan zijn om binnen een bepaald doeleinde wat meer in detail te omschrijven welke activiteiten juist plaatsvinden binnen dat doeleinde. Het kan immers zijn dat u verschillende rechtsgronden gebruikt binnen een bepaald doeleinde, of gegevens van verschillende soorten betrokkenen die gekoppeld zijn aan de activiteit.
Bijvoorbeeld:
- Binnen het doeleinde ‘personeelsadministratie’ zijn er bijvoorbeeld (minstens) de volgende ‘verwerkingsactiviteiten’, die elk een eigen juridische grondslag hebben:
- Evaluatie / opleiding en Vorming
- Uitbetaling van lonen
- Controle van online communicatiemiddelen
- Sollicitantenbeheer
- …
- Binnen het doeleinde ‘Patiëntenzorg’, kunnen er in principe ook verschillende activiteiten zijn:
- Registratie van patiënten bij hun bezoek
- Aanleggen van een patiëntendossier
- Behandeling van patiënten ( diagnose, preventie, remediëring, …)
- …
Door te werken met verschillende verwerkingsactiviteiten binnen een doeleinde, kan u dus in uw Register iets meer in detail gaan.
2. Rechtsgrond
In deze rubriek voegt u voor elke categorie van gegevens de juridische grondslag toe die u in Stap 2 bepaald heeft.
3. Categorieën betrokkenen
In deze rubriek voegt u het overzicht toe dat u in Stap 1 heeft gemaakt van de personen van en over wie er persoonsgegevens worden verwerkt (de ‘betrokkenen’). Zoals gezegd volstaat het te werken met algemene categorieën. Bij ‘leveranciersbeheer’ waarschijnlijk gewoon ‘leveranciers’.
Bij een aantal andere doeleinden kan het zijn dat u meerdere categorieën moet invullen. Bijvoorbeeld:
Het doeleinde ‘patiëntenzorg’ zal mogelijks niet enkel gegevens bevatten van patiënten, maar ook van vertegenwoordigers en vertrouwenspersonen.
Het doeleinde ‘personeelsadministratie’ zal niet enkel gegevens van werknemers bevatten, maar bijvoorbeeld ook van sollicitanten of gepensioneerde werknemers.
Het doeleinde ‘boekhouding’ zal zowel gegevens van ‘patiënten’ als van ‘leveranciers’ bevatten.
4. Categorieën gegevens
In deze rubriek voegt u het overzicht toe dat u in Stap 1 heeft gemaakt van de soorten persoonsgegevens die u binnen elk doeleinde verwerkt. Ook hier volstaat het te werken met algemene categorieën.
5. Bewaringstermijn
In deze rubriek voegt u voor elke categorie van gegevens de bewaartermijn toe die u in Stap 3 bepaald heeft. Zoals gezegd moet u minstens de criteria aangeven die worden gebruikt om die termijn te bepalen. Indien mogelijk, bepaalt u de concrete bewaartermijn.
TIP:
|
6. Technische en organisatorische beveiligingsmaatregelen
In deze rubriek voegt u het overzicht van beveiligingsmaatregelen toe dat u in Stap 4 heeft gemaakt. Indien u binnen een doeleinde (of verwerkingsactiviteit) gevoelige gegevens verwerkt, doet u er best aan te omschrijven welke extra beveiligingsmaatregelen u juist neemt in dat verband.
7. Categorieën ontvangers
In deze rubriek voegt u het overzicht toe dat u in Stap 3 heeft gemaakt van de derde partijen aan wie u gegevens doorgeeft (inclusief de ‘verwerkers’) die u binnen elk doeleinde verwerkt. Ook hier volstaat het te werken met algemene categorieën, en bent u dus niet verplicht elke verwerker afzonderlijk te vernoemen. In praktijk wil dat zeggen dat u meestal enkel ‘verwerkers’ moet vermelden (in sommige gevallen ook ‘overheid’).
8. Doorgiften
In deze rubriek voegt u voor elke categorie van gegevens toe of u de gegevens doorgeeft aan derde landen (zie stap 4):
Geeft u inderdaad gegevens door aan een derde land (bijvoorbeeld omdat u werkt met een softwarepakket waarvan de servers in zo’n derde land staan), dan schrijft u in de subrubriek ‘aard van de doorgifte’ één van de volgende mogelijkheden:
- Enkel landen die door de EU goedgekeurd zijn.
- Enkel ondernemingen die voorkomen op de Privacy Shield List
- Andere (in dit geval moet u een omschrijving toevoegen van de passende waarborgen die werden voorzien)