REGISTER VAN VERWERKINGSACTIVITEITEN VAN PERSOONSGEGEVENS: HOE VOLDOET U HIERAAN?
La nieuwe wet gegevensbescherming (nLPD) treedt op 1 september 2023 in werking. Het gaat vergezeld van een nieuwe verordening inzake gegevensbescherming (OPdo).
Volgens deArtikel 12Onder de Wet Bescherming Persoonsgegevens moeten bedrijven met meer dan 250 werknemers een register opstellen. Hierin staan de verschillende soorten persoonsgegevens die worden verwerkt.
Inhoud van het register.
Dit register moet met name de volgende informatie bevatten:
- identiteit van de voor de verwerking verantwoordelijke
- doel van de verwerking
- beschrijving van de categorieën betrokkenen en de categorieën verwerkte persoonsgegevens
- categorieën van ontvangers
- de bewaartermijn of de criteria voor het bepalen van de bewaartermijn
- veiligheidsmaatregelen om gegevens te beschermen
- de landen waar de gegevens worden opgeslagen en veiligheidsgaranties
Inhoud van het register.
Dit register moet met name de volgende informatie bevatten:
- identiteit van de voor de verwerking verantwoordelijke
- doel van de verwerking
- beschrijving van de categorieën betrokkenen en de categorieën verwerkte persoonsgegevens
- categorieën van ontvangers
- de bewaartermijn of de criteria voor het bepalen van de bewaartermijn
- veiligheidsmaatregelen om gegevens te beschermen
- de landen waar de gegevens worden opgeslagen en veiligheidsgaranties
Hoe pak je dat in de praktijk aan en waar begin je?
Het opstellen van dit register vereist de betrokkenheid van alle afdelingen in uw organisatie. Elke afdeling in uw organisatie gaat waarschijnlijk met persoonsgegevens om. Het is dus een bedrijfsoverschrijdende aanpak.
Dit register bevat niet de gegevens zelf. Het bevat de categorieën van gegevens. We vermelden bijvoorbeeld dat we de namen van deelnemers aan een training verzamelen, maar we vermelden de namen zelf niet in het register. Het register van verwerkingsactiviteiten van persoonsgegevens kan worden vergeleken met de inventaris van thematische afdelingen in een bibliotheek. Maar dan zonder de inhoud van de boeken!
Fasen en communicatie
De eerste stap is om de afdelingshoofden en/of procesmanagers te informeren over de nieuwe ontwikkelingen. Hiervoor kunt u de documenten gebruiken die op federaal niveau beschikbaar zijn, zoals die op de Federale commissaris voor gegevensbescherming.
Elke manager moet dit register vervolgens aanvullen. Ze moeten de gegevens registreren die in hun proces worden verwerkt.
In de praktijk houdt het opstellen van het register van verwerkingsactiviteiten in dat er verbanden moeten worden gelegd met andere elementen van je organisatie. Bijvoorbeeld de informatiesystemen die worden gebruikt om de gegevens op te slaan, de lijst van afdelingen, de betrokken processen, de lijst van verantwoordelijken voor de verwerking, enz. Zonder een geschikt hulpmiddel (zoals een eenvoudig Excel-spreadsheet) kan dit complex worden om te documenteren.
Het juiste gereedschap gebruiken
Daarom hebben we de module Gegevensbeheer in SIRIS+ ontwikkeld. Hiermee kunt u eenvoudig uw register aanmaken. En het integreren met de processen en afdelingen van uw organisatie.
Heb je behoefte aan korte, effectieve en pragmatische ondersteuning om naleving te bereiken? U kunt contact met ons opnemen via onderstaand formulier.