GDPR: Het verwerkingsregister en de verwerkingsovereenkomst

14/05/2018

Register.png

 

GDPR zet ons allen aan om op een ordentelijke wijze met persoonsgegevens om te gaan. We hebben in de vorige bijdragen info en tips gegeven over hoe persoonsgegevens op een relatief eenvoudige manier kunnen afgeschermd worden voor onbevoegden.


Maatregelen nemen is belangrijk, maar we mogen ook niet uit het oog verliezen om een aantal meer ‘administratieve’ verplichtingen te vervullen.

Daarom staan we in deze bijdrage even stil bij het register van de verwerkingsactiviteiten en de verwerkingsovereenkomst.

 

 

 

Het register van verwerkingsactiviteiten

Je doet er goed aan al je verwerkingen te registreren.

De Algemene Verordening Gegevensbescherming (AVG of GDPR) geeft de betrokkenen een aantal rechten. Wanneer jouw activiteit onnauwkeurige persoonsgegevens bijhoudt, en heeft gedeeld met andere organisaties, zal je deze laatste moeten inlichten over de onnauwkeurigheid zodat deze een correctie kan aanbrengen in haar eigen gegevens. Deze documentatieplicht helpt je bovendien de verantwoordelijkheidsvereiste uit de AVG na te leven. Volgens dit principe dient een bedrijf of organisatie te bewijzen dat ze in overeenstemming met de gegevensbeschermingsprincipes handelt.

Om hierbij te helpen, stelt de Privacy commissie op haar website een modelregister van verwerkingsactiviteiten ter beschikking met een bijbehorende handleiding.

Je kan het register downloaden op de website van de privacycommissie. Dit registermodel bevat 5 tabbladen:

  • Tabblad "Identificatie van de verwerkingsverantwoordelijke": identificatie van de organisatie die het register beheert en desgevallend de identificatie van de functionaris voor de gegevensbescherming;
  • Tabblad "register": het eigenlijke register waar de verschillende soorten gegevensverwerkingen worden ingevuld.
  • Tabblad "lijsten": lijsten met voorbeeldwaarden als hulp bij het invullen van het Register;
  • Tabblad "handleiding register": Hier wordt uitgelegd hoe u het register moet invullen. 
  • Tabblad "mapping aangifte": Met dit tabblad kunt u vergelijken en dus gemakkelijk de informatie overnemen die u desgevallend al invulde in uw voorafgaande aangifte van de verwerking. Kolom A herneemt de categorieën van het register en kolom B geeft het equivalent dat u in uw aangifte kunt terugvinden.

U kan dit register inzien en/of downloaden voor gebruik op:

https://view.officeapps.live.com/op/view.aspx?src=https://www.privacycommission.be/sites/privacycommission/files/documents/template%20register%20van%20de%20verwerkingsactiviteiten_versie19072017.xls

 

                                                                                       


De verwerkingsovereenkomst

Hiermee regel je dat die derde partij zorgvuldig met de persoonsgegevens omspringt. En zich bovendien netjes houdt aan de afspraken die jij met de betrokkenen daarover gemaakt hebt.

Onder de AVG/GDPR is het erg belangrijk dat gegevens alleen verwerkt worden voor een vooraf bepaald, door de betrokkene goedgekeurd doel. De verwerkersovereenkomst moet daarom extra nadruk hierop leggen en deze afspraak met de betrokkene verankeren. De overeenkomst moet verzekeren dat externe partijen de gegevens enkel en alleen verwerken voor het gespecificeerde doel.
Onder de AVG/GDPR geldt bovendien een verwijderingsplicht. Wanneer de persoonsgegevens niet meer nuttig zijn voor het beoogde doel, dan moeten deze worden verwijderd. Ook hierover moeten goede afspraken worden gemaakt in de verwerkersovereenkomst.

Iedere organisatie die persoonsgegevens verwerkt, moet zich houden aan de privacywetgeving. Maar wat als je die verwerking geheel of gedeeltelijk wilt uitbesteden aan een derde partij? Denk maar aan het gebruik van jouw verpleegkundige software dat via de Cloud aan je ter beschikking gesteld wordt of het doorgeven van jouw gegevens aan je facturatiedienst, het sociaal secretariaat, … .
Dat uitbesteden van de verwerking mag natuurlijk niet ten koste gaan van de afspraken die je met de betrokkene van de persoonsgegevens (patiënten, personeel,…) hebt gemaakt. Dat is precies wat een verwerkersovereenkomst moet afdwingen. Hiermee regel je dat die derde partij zorgvuldig met de persoonsgegevens omspringt. En zich bovendien netjes houdt aan de afspraken die jij met de betrokkenen daarover gemaakt hebt.

Een verwerkersovereenkomst bevat doorgaans:
Het doel van de verwerking (bijvoorbeeld het bijhouden van een patiëntendossier), de manier waarop de verwerking plaatsvindt, de geheimhouding (d.m.v. een geheimhoudingsverklaring), eventueel de afspraken met onderaannemers, de veiligheidsmaatregelen (zodat er kan gegarandeerd worden dat de gegevens niet in verkeerde handen terecht komen), de duur van de verwerking en het wissen van de persoonsgegevens bij het einde van de verwerking.

 

In een volgende nieuwsbrief leer je meer over de 'privacyverklaring/informed consent' en 'Data Protection Officer' (DPO).

Prenez rendez-vous

Saisissez vos coordonnées et nous vous contacterons. De cette façon, nous pourrons trouver un moment convenable pour nous rencontrer et répondre à toutes vos questions.

Contactez-nous