REGISTER VAN DE VERWERKINGEN
INVENTARISATIE
Het beste beginpunt voor GDPR-compliancy is een goede inventaris van de persoonsgegevens die je als firma of organisatie bijhoudt en gebruikt. Je moet die informatie ook omzetten in een formeel Register van de verwerkingen van persoonsgegevens.
Een data-inventarisatie is een onderzoek waarbij in kaart gebracht wordt welke persoonsgegevens door of namens de organisatie worden verwerkt en onder welke omstandigheden. Een van de manieren waarmee dit bereikt kan worden is wat de ‘systemen/verwerkingen-methode’ wordt genoemd.
Hierbij moet eerst in kaart gebracht worden welke verwerkingen van persoonsgegevens plaatsvinden, waar en welke persoonsgegevens worden verwerkt en vervolgens wat er (verder) met de gegevens gedaan wordt. Met andere woorden: je moet inventariseren welke systemen (applicaties / software, bestanden en andere gegevensverzamelingen zoals papier) je hebt en welke verwerkingen er uitgevoerd worden met deze persoonsgegevens.
Een data-inventarisatie dient vier doelen:
1. Beoordelen van de rechtmatigheid (dataminimalisatie, privacy by design; e.a.)
De AVG stelt nogal wat eisen aan de verwerking van persoonsgegevens. Om te kunnen bepalen of de verwerkingen voldoen aan de eisen die de AVG daar aan stelt, zal je natuurlijk eerst moeten weten welke verwerkingen er überhaupt zijn en hoe deze op dit moment zijn vormgegeven.
2. Bepalen impact op de organisatie
Als je eenmaal weet welke verwerkingen onder welke omstandigheden plaatsvinden en bepaald hebt wat de gewenste situatie zou zijn, kan je bepalen wat er in het kader van de AVG moet gebeuren en dus wat de impact (denk aan kosten, capaciteit, doorlooptijd) op je organisatie zal zijn.
3. Register van verwerkingsactiviteiten
De AVG verplicht organisaties expliciet om een register van verwerkingen bij te houden (artikel 30 AVG). De uitkomsten van de data-inventarisatie dienen als basis voor het aanleggen van een dergelijk register, welke de applicatie automatisch creëert.
4. Awareness (of bewustzijn)
Door medewerkers te betrekken, worden ze gedwongen om na te denken over het onderwerp privacy. Hiermee zal het privacy bewustzijn binnen de organisatie een boost krijgen.
© 2018 Lexit CVBA - Proudly created by Grinta Consultancy
Hoge Weg 129, 2940 Stabroek
paul.lauwereins@gdprmasters.com | 0478 44 53 33