REGISTER VAN DE VERWERKINGEN

INVENTARISATIE

Logo_GDPR_Masters_Schild.png

Het beste beginpunt voor GDPR-compliancy is een goede inventaris van de persoonsgegevens die je als firma of organisatie bijhoudt en gebruikt. Je moet die informatie ook omzetten in een formeel Register van de verwerkingen van persoonsgegevens.

Een data-inventarisatie is een onderzoek waarbij in kaart gebracht wordt welke persoonsgegevens door of namens de organisatie worden verwerkt en onder welke omstandigheden. Een van de manieren waarmee dit bereikt kan worden is wat de ‘systemen/verwerkingen-methode’ wordt genoemd.

Hierbij moet eerst in kaart gebracht worden welke verwerkingen van persoonsgegevens plaatsvinden, waar en welke persoonsgegevens worden verwerkt en vervolgens wat er (verder) met de gegevens gedaan wordt. Met andere woorden: je moet inventariseren welke systemen (applicaties / software, bestanden en andere gegevensverzamelingen zoals papier) je hebt en welke verwerkingen er uitgevoerd worden met deze persoonsgegevens.

DOELEN

Een data-inventarisatie dient vier doelen:

1.    Beoordelen van de rechtmatigheid (dataminimalisatie, privacy by design; e.a.)
De AVG stelt nogal wat eisen aan de verwerking van persoonsgegevens. Om te kunnen bepalen of de verwerkingen voldoen aan de eisen die de AVG daar aan stelt, zal je natuurlijk eerst moeten weten welke verwerkingen er überhaupt zijn en hoe deze op dit moment zijn vormgegeven.

2.    Bepalen impact op de organisatie
Als je eenmaal weet welke verwerkingen onder welke omstandigheden plaatsvinden en bepaald hebt wat de gewenste situatie zou zijn, kan je bepalen wat er in het kader van de AVG moet gebeuren en dus wat de impact (denk aan kosten, capaciteit, doorlooptijd) op je organisatie zal zijn.

3.    Register van verwerkingsactiviteiten
De AVG verplicht organisaties expliciet om een register van verwerkingen bij te houden (artikel 30 AVG). De uitkomsten van de data-inventarisatie dienen als basis voor het aanleggen van een dergelijk register, welke de applicatie automatisch creëert.

4.    Awareness (of bewustzijn)
D
oor medewerkers te betrekken, worden ze gedwongen om na te denken over het onderwerp privacy. Hiermee zal het privacy bewustzijn binnen de organisatie een boost krijgen.