Se connecter  Chercher   Home   Contact

NL

Register van verwerkingsactiviteiten

De Algemene Verordening Gegevensbescherming (AVG/GDPR)), die vanaf 25 mei 2018 in voege zal treden , stipuleert dat elke verwerkingsverantwoordelijke en onderaannemer (die voor rekening van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, b.v. IT provider, extern call center, bureau, …) een ‘register van verwerkingsactiviteiten’ dient bij te houden .

Die verplichting ligt bij u, of u nu een rechtspersoon bent (welke ook uw juridische bestaansvorm is: bvba, nv, vzw, stichting, …) of een natuurlijke persoon.

marketing & privacy

 

 

Het register brengt in zekere zin de verwerkingen die u uitvoert in kaart. Het bevat onder meer informatie over de categorieën van verwerkte data, hun bestemmelingen, de geïmplementeerde veiligheid, … In de bewoordingen van de Commissie voor de bescherming van de persoonlijke levenssfeer dient het om “de verwerkingsverantwoordelijken en onderaannemers te responsabiliseren” ten aanzien van hun verplichtingen binnen de AVG.

Dit register is een evolutief document, aangezien het overeen moet stemmen met de werkelijk uitgevoerde verwerkingen, maar er mag van uitgegaan worden dat het in het geval van de verwerkingsverantwoordelijke wellicht ‘statischer’ zal zijn dan in dat van de onderaannemer.

De verwerkingsverantwoordelijke moet er immers de volgende informatie in registreren:

  • zijn identiteit en eventueel die van zijn Data Protection Officer;
  • de verwerkingsfinaliteiten;
  • de categorieën van bestemmelingen van de persoonsgegevens;
  • indien de bestemmeling buiten de Europese Unie gevestigd is: de identificatie van het betreffende land en de maatregelen die getroffen zijn om de gegevens in het kader van die overdracht te beschermen;
  • de houdbaarheidsdata van de gegevens;
  • een algemene beschrijving van de veiligheidsmaatregelen die getroffen zijn om de gegevens te beschermen.

 

In het geval van de onderaannemer zal het register de volgende gelijkaardige informatie hernemen:

  • de identiteit van de onderaannemer en, eventueel van diens Data Protection Officer;
  • een algemene beschrijving van de veiligheidsmaatregelen;
  • de categorieën van bestemmelingen van de persoonsgegevens;
  • indien de bestemmeling buiten de Europese Unie gevestigd is: de identificatie van het betreffende land en de maatregelen die getroffen zijn om de gegevens in het kader van die overdracht te beschermen.

 

De uitvoering ervan zal daarentegen wellicht complexer zijn wanneer het om de registratie van de volgende gegevens gaat:

  • de identiteit van elk van zijn klanten, van de verwerkingsverantwoordelijke, alsook, eventueel, van hun Data Protection Officer;
  • de categorieën van verwerkingen die voor elk van die klanten uitgevoerd zijn.

 

Als de ‘core business’ van de onderaannemer immers de verwerking van persoonsgegevens van zijn klanten is, dan zal hij wellicht een – complexer – geautomatiseerd systeem moeten invoeren dat voor elk commando al die informatie registreert.

Het register is een bedrijfsintern document. Het dient op verzoek aan de Commissie voor de bescherming van de persoonlijke levenssfeer overgemaakt te worden. Zijn vorm is vrij. Er bestaan echter modellen voor, die beschikbaar zijn op de site van de Commissie persoonlijke levenssfeer https://www.privacycommission.be/nl/model-voor-een-register-van-de-verwerkingsactiviteiten, alsook op de site van het CNIL https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles.

 

Nog meer weten?

Volg onze workshops rond GDPR:

Of sluit je aan bij onze Experthub Data en/of de Experthub Legal. Stuur ons een mailtje naar info@marketing.be als je hierin interesse hebt!

  

En savoir plus?

Suivez nos workshops sur le GDPR:

Ou découvrez nos Experthub Data et/ou l' Experthub Legal. envoyez-nous un email vers info@marketing.be si vous êtes intéressés!

 

 

Téléchargez l'infographie sur la GDPR