Veel ondernemingen zijn nog niet in orde met de nieuwe Europese privacyregels (GDPR of AVG). Sommige hebben snel een privacyverklaring van internet geplukt en op hun website gezet. Maar dat volstaat niet om te voldoen aan de documentatieplicht. Lees: het bijhouden van een papierspoor over de persoonsgegevens waarmee u in aanraking komt.
Twee vliegen in één klap
Door het bijhouden van een intern register van de verwerkingsactiviteiten, ook dataregister genoemd, slaat u minstens twee vliegen in één klap. Omdat u in het register al uw activiteiten rond persoonsgegevens in kaart brengt, zet u vooreerst de belangrijkste stap in het voldoen aan uw documentatieplicht.
Ten tweede is het bijhouden van zo’n register ook wettelijk verplicht. Even was er twijfel of ook kleine ondernemingen registerplicht hadden, maar volgens de Gegevensbeschermingsautoriteit ontsnapt praktisch niemand eraan. Zodra u één klant, leverancier of personeelslid heeft, moet u een dataregister bijhouden.
Is er een voorbeelddocument voor het dataregister?
Nee, er bestaat momenteel geen officieel voorbeelddocument voor het dataregister. Alle registers zijn toegelaten, zolang ze de wettelijk vastgelegde minimuminhoud bevatten. Wel stelt de Gegevensbeschermingsautoriteit een model van register ter beschikking op haar site. Omdat dat een blanco model is, kan het echter nogal tijdrovend zijn om van dat voorbeelddocument te beginnen.
Op zoek naar een eenvoudig en gebruiksvriendelijk register? Surf naar onze e-shop.
Moet ik het register bekendmaken?
Nee, in tegenstelling tot uw privacyverklaring, is het dataregister niet bedoeld voor de buitenwereld. Buiten uzelf, uw bevoegde medewerkers en de Gegevensbeschermingsautoriteit heeft niemand er zaken mee.
Maar… eenmaal u het dataregister heeft voltooid, kunt u die inzichten gebruiken om een correcte privacyverklaring op te stellen voor de buitenwereld. De derde vlieg in één klap dus!
Wat moet er in een GDPR-register staan?
Eerst en vooral moet u de contactgegevens van de verwerkingsverantwoordelijke opnemen. Dat is de onderneming die eindverantwoordelijke is voor de persoonsgegevens. Als u een Data Protection Officer heeft aangesteld, vermeldt u dit ook. Optioneel kunt u ook vermelden met welke verwerkers u samenwerkt. Dat is geen slecht idee in het kader van uw documentatieplicht! Vervolgens vult u het echte register in. Hier gaan we zogezegd rondwandelen in de onderneming en een inventaris maken van alle activiteiten rond gegevensverwerking:
- Welke persoonsgegevens verwerkt u? (bv. mailadres, gsm-nr., foto’s, …)
- Van wie verwerkt u gegevens? (bv. B2C-klanten, medewerkers, interessante contacten, …)
- Waarom verwerkt u die gegevens? (bv. klantenbeheer, direct marketing, sollicitaties, …)
- Met welke derden deelt u de gegevens? Derden binnen of buiten de EU?
- Hoelang bewaart u de gegevens?
- Welke juridische grondslag gebruikt u voor de verwerking? (bv. toestemming, uitvoering contract, gerechtvaardigd belang)
- Welke maatregelen neemt u om de gegevens veilig te houden? (bv. paswoordcontrole, back-ups, verwerkingsovereenkomst)
Klaar! Wat doe ik nu met het register?
Klaar met uw register? Bewaar het dan in een centrale GDPR-map, waar u alles verzamelt rond uw documentatieplicht. Zo kunt u met één klik tonen dat u privacy serieus neemt.
Opgelet, u moet het register onderhouden zodat het steeds up-to-date is. Bewaar de oude versies van het register als een soort ‘paper trail’. Maak er tot slot ook back-ups van, zodat het register niet verloren gaat bij een crash of inbraak op uw systemen.
Elke onderneming, groot of klein, krijgt met persoonsgegevens te maken. Securex helpt u graag verder met documenten of advies op maat.
