Persoonsgegevensbescherming in a nutshell. Stap 6: stel uw dataregister op.

Het dataregister, ook wel verwerkingsregister genoemd, is het document waarmee een organisatie beantwoordt aan de verantwoordingsplicht zoals die onder art. 5 van de Algemene Verordening Gegevensbescherming (AVG) beschreven staat. Voornoemd artikel vermeldt alle gegevens die uw organisatie moet kunnen voorleggen op vraag van de Gegevensbeschermingsautoriteit m.b.t. de verzameling, verwerking en eventuele doorgifte van persoonsgegevens.

Zowel de verwerkingsverantwoordelijke (Engels: controller) als de verwerker (Engels: processor) zijn verplicht een verwerkingsregister bij te houden, maar dat van de verwerker is in feite een light-versie (lees: bevat minder kolommen) van dat van de verwerkingsverantwoordelijke.

De verantwoordingsplicht vervangt de vroegere aangifteplicht van de Privacycommissie. De aangifteplicht bestond erin dat geautomatiseerde verwerkingen van persoonsgegevens voorafgaandelijk aan de Privacycommissie moesten worden aangegeven. De AVG vervangt deze verplichting en zorgt voor een uitbreiding van de vroegere rechten van de betrokkene. Tevens komt de AVG tegemoet aan de steeds snellere technologische ontwikkelingen inzake het verzamelen van persoonsgegevens en biedt het een administratieve vereenvoudiging t.o.v. de aangifte.

Terwijl de vroegere ‘aangifte’ een publiek document was, is het verwerkingsregister een document dat puur voor intern gebruik dient, maar dat dus wel op vraag van de Gegevensbeschermingsautoriteit moet kunnen worden voorgelegd.

Is er een sjabloon van verwerkingsregister van waaruit ik mag starten?

De Gegevensbeschermingsautoriteit heeft op zijn website een model van verwerkingsregister staan dat als voorbeeld kan gehanteerd worden: https://www.gegevensbeschermingsautoriteit.be/model-voor-een-register-van-de-verwerkingsactiviteiten. Let op: er zijn tal van andere bruikbare verwerkingsregisters in omloop. Het maakt niet uit welk register je kiest, zolang de verplichte kolommen maar opgenomen zijn. Om te weten over welke kolommen het gaat neem je best een kijkje in het model van de Gegevensbeschermingsautoriteit. Vouw alle categorieën van kolommen open door op + te klikken in de Excel-file. De titels van de verplichte kolommen voor het verwerkingsregister worden in het rood weergegeven.

Het model verwerkingsregister van de Gegevensbeschermingsautoriteit bestaat uit volgende tabbladen:

• tabblad "Identificatie van de verwerkingsverantwoordelijke": identificatie van de organisatie die het register beheert en desgevallend de identificatie van de functionaris voor de gegevensbescherming;
• tabblad "register": het eigenlijke register waar de verschillende soorten gegevensverwerkingen worden ingevuld;
• tabblad "lijsten": lijsten met voorbeeldwaarden als hulp bij het invullen van het Register;
• tabblad "handleiding register": hier wordt uitgelegd hoe u het Register moet invullen;
• tabblad "mapping aangifte": dit tabblad vergelijkt de rubrieken uit het verwerkingsregister met de rubrieken uit de vroegere aangifte van de verwerking. Kolom A herneemt de categorieën van het Register en kolom B geeft het equivalent dat u in uw aangifte kunt terugvinden.

Wat moet een dataregister allemaal bevatten?

De verplichte kolommen voor de verwerkingsverantwoordelijke zijn de volgende:

• Naam + contactgegevens: Vermeld deze gegevens voor de verwerkingsverantwoordelijke en DPO.
• Doel verwerking: Met welke finaliteit worden persoonsgegevens verwerkt?
• Functionele gegevenscategorie: Onder welke categorie vallen de verwerkte persoonsgegevens?
• Categorie betrokkenen: Onder welke categorie vallen de betrokkenen van wie de persoonsgegevens worden verwerkt?
• Bewaartermijn: Hoe lang mogen de verwerkte persoonsgegevens bewaard worden?
• Categorieën ontvangers: Onder welke categorie vallen de personen die de persoonsgegevens ontvangen?
• Derde land/internationale organisatie: Worden de persoonsgegevens doorgegeven naar een derde land of internationale organisatie? Hiermee wordt een niet-Europese entiteit bedoeld die zich niet aan de AVG moet houden, maar misschien andere relevante regels kent.
• Documenten passende waarborgen: Als er effectief sprake is van doorgifte van persoonsgegevens naar een derde land/internationale organisatie of een doorgifte zoals bedoeld in art. 49.2 van de AVG, dan moet u in een of meerdere documenten aanduiden welke extra beveiligingsmaatregelen u heeft getroffen om deze persoonsgegevens te beschermen tegen datalekken. De link naar deze documenten moet u vervolgens opnemen in het dataregister.
• Beschrijving beveiligingsmaatregelen: Vermeld hier de technische en organisatorische maatregelen die zijn genomen ter bescherming van de persoonsgegevens.

De verwerker moet ook een – weliswaar beperkter – verwerkingsregister opstellen.
Dit moet volgende zaken bevatten:

• Naam + contactgegens: Vermeld deze gegevens voor de verwerker en de DPO.
• Categorieën verwerkingen: Dit is hetzelfde als de ‘doeleinden verwerking’ uit het register van de verwerkingsverantwoordelijke.
• Derde land/internationale organisatie: Worden de persoonsgegevens doorgegeven naar een derde land of internationale organisatie? Hiermee wordt een niet-Europese entiteit bedoeld die zich niet aan de AVG moet houden, maar misschien andere relevante regels kent.
• Beschrijving beveiligingsmaatregelen: Vermeld hier de technische en organisatorische maatregelen die zijn genomen ter bescherming van de persoonsgegevens.

Welke organisaties moeten allemaal een dataregister opstellen?

De AVG bepaalt dat alle ondernemingen met 250 of meer werknemers sowieso een verwerkingsregister moeten bijhouden. Betekent dat dat ondernemingen/organisaties met minder dan 250 werknemers hier niet toe verplicht zijn?

Niet noodzakelijk.

Organisaties met minder dan 250 werknemers moeten toch een verwerkingsregister bijhouden indien:

1. het waarschijnlijk is dat de verwerking een risico inhoudt voor de privacy van de betrokkene;
2. de verwerking niet incidenteel is, of;
3. de verwerking bijzondere of strafrechtelijke persoonsgegevens betreft.

De eerste en de derde voorwaarde zijn in de meeste gevallen duidelijk. Als je (structureel) gevoelige gegevens verwerkt, zoals medische gegevens of strafrechtelijke gegevens, dan moet je een verwerkingsregister bijhouden.

Het is de tweede uitzondering die problemen oplevert. Want wanneer definieer je een verwerking als ‘niet incidenteel’? Een kleine organisatie die enkele niet-incidentele verwerkingen van persoonsgegevens uitvoert is al verplicht een verwerkingsregister opstellen. Niet-incidenteel mogen we in deze context omschrijven als “met enig structureel of voortdurend karakter”. Het bijhouden van een salarisadministratie en klantenbestand, en zelfs het gebruik van e-mail vallen hier dus onder.

Om er zeker van te zijn dat je als organisatie aan de verplichtingen voldoet, raadt de Gegevensbeschermingsautoriteit elke organisatie aan om een verwerkingsregister op te stellen (zie https://www.gegevensbeschermingsautoriteit.be/faq-themas/register-van-de-verwerkingsactiviteiten). Het geeft ook mee dat een dergelijk register een bijzonder nuttig overzicht biedt van alle verwerkingen van de organisatie, en dat het daarom zeker de de tijd en moeite loont om het op te stellen.

De Gegevensbeschermingsautoriteit vermeldt verder dat het register voor ondernemingen met minder dan 250 werknemers beperkt mag blijven tot de niet-incidentele verwerkingen. Dat betekent dat het register er voor deze organisaties heel wat eenvoudiger uitziet. Vergeet wel niet dat ook de verwerkingen die een risico inhouden voor de rechten en vrijheden van de betrokkene moeten worden opgenomen in het verwerkingsregister.

Het dataregister bevat verwerkingsactiviteiten… Maar wat wordt daar precies mee bedoeld? Hoe diep mag ik gaan om iets als verwerkingsactiviteit te bestempelen?

Artikel 30 van de AVG bevat een overzicht van de informatie die per verwerkingsactiviteit moet worden geregistreerd. Wat er met ‘verwerkingsactiviteit’ bedoeld wordt, daar blijft de AVG enigszins vaag over… wat betekent dat organisaties zelf moeten bepalen tot welk niveau ze verwerkingsactiviteiten zullen definiëren. Geen eenvoudige klus. Voorbeelden van verwerkingsactiviteiten zijn: salarisadministratie, bepaalde bedrijfsanalyses, recruteringscampagnes en het versturen van nieuwsbrieven. Door data te inventariseren (stap 5 uit deze reeks nieuwsberichten) ga je na hoe data uit een bepaalde bron wordt aangewend om een verwerkingsactiviteit te voltooien en zal het duidelijk worden hoe risicovol of hoe veilig die activiteit eigenlijk wel is. Door in die stap databronnen (bv. bepaalde softwaredatabases) met datastromen (het pad dat data aflegt) te linken, kun je nagaan wat de verwerkingsactiviteiten zijn per dienst.

Heeft V-ICT-OR nog tips omtrent het opstellen van het verwerkingsregister?

• Niemand kan een verwerkingsregister op zijn eentje opstellen. Het bevat tenslotte informatiestromen uit alle diensten binnen uw organisatie, en niemand is perfect vertrouwd met alle diensten. Laat het verwerkingsregister rondgaan bij de diensthoofden, zodat zij voor hun eigen dienst kunnen bepalen welke verwerkingsactiviteiten er plaatsvinden.
• Zorg ervoor dat de mensen die het register invullen een zekere uniformiteit bewaren. Enkele van onze contactpersonen die dataregisters opstellen hebben het al meegemaakt: op het einde van de rit krijgen ze een dataregister terug dat een wirwar is van termen, schrijfstijlen, kleuren en, misschien nog erger, interpretaties. Zorg dat je vooraf duidelijk communiceert over de terminologie, de materie en de te hanteren schrijfstijl (bv. bullet points of voluit, gebruik kleuren in dataregister) zodat je jezelf veel werk bespaart achteraf.
• Maak gretig gebruik van de resultaten uit de vorige stap, nl. de datainventarisatie! Als dit is gebeurd, is het opstellen van het dataregister een stuk makkelijker.

Bron afbeelding: https://www.frankwatching.com/archive/2018/01/29/gdpr-aandachtspunten-digital-marketeers/