Het dataregister, ook wel verwerkingsregister genoemd, is het document waarmee een organisatie beantwoordt aan de verantwoordingsplicht zoals die onder art. 5 van de Algemene Verordening Gegevensbescherming (AVG) beschreven staat. Voornoemd artikel vermeldt alle gegevens die uw organisatie moet kunnen voorleggen op vraag van de Gegevensbeschermingsautoriteit m.b.t. de verzameling, verwerking en eventuele doorgifte van persoonsgegevens.
Zowel de verwerkingsverantwoordelijke (Engels: controller) als de verwerker (Engels: processor) zijn verplicht een verwerkingsregister bij te houden, maar dat van de verwerker is in feite een light-versie (lees: bevat minder kolommen) van dat van de verwerkingsverantwoordelijke.
De verantwoordingsplicht vervangt de vroegere aangifteplicht van de Privacycommissie. De aangifteplicht bestond erin dat geautomatiseerde verwerkingen van persoonsgegevens voorafgaandelijk aan de Privacycommissie moesten worden aangegeven. De AVG vervangt deze verplichting en zorgt voor een uitbreiding van de vroegere rechten van de betrokkene. Tevens komt de AVG tegemoet aan de steeds snellere technologische ontwikkelingen inzake het verzamelen van persoonsgegevens en biedt het een administratieve vereenvoudiging t.o.v. de aangifte.
Terwijl de vroegere ‘aangifte’ een publiek document was, is het verwerkingsregister een document dat puur voor intern gebruik dient, maar dat dus wel op vraag van de Gegevensbeschermingsautoriteit moet kunnen worden voorgelegd.
Is er een sjabloon van verwerkingsregister van waaruit ik mag starten?
De Gegevensbeschermingsautoriteit heeft op zijn website een model van verwerkingsregister staan dat als voorbeeld kan gehanteerd worden: https://www.gegevensbeschermingsautoriteit.be/model-voor-een-register-van-de-verwerkingsactiviteiten. Let op: er zijn tal van andere bruikbare verwerkingsregisters in omloop. Het maakt niet uit welk register je kiest, zolang de verplichte kolommen maar opgenomen zijn. Om te weten over welke kolommen het gaat neem je best een kijkje in het model van de Gegevensbeschermingsautoriteit. Vouw alle categorieën van kolommen open door op + te klikken in de Excel-file. De titels van de verplichte kolommen voor het verwerkingsregister worden in het rood weergegeven.
Het model verwerkingsregister van de Gegevensbeschermingsautoriteit bestaat uit volgende tabbladen:
Wat moet een dataregister allemaal bevatten?
De verplichte kolommen voor de verwerkingsverantwoordelijke zijn de volgende:
De verwerker moet ook een – weliswaar beperkter – verwerkingsregister opstellen.
Dit moet volgende zaken bevatten:
Welke organisaties moeten allemaal een dataregister opstellen?
De AVG bepaalt dat alle ondernemingen met 250 of meer werknemers sowieso een verwerkingsregister moeten bijhouden. Betekent dat dat ondernemingen/organisaties met minder dan 250 werknemers hier niet toe verplicht zijn?
Niet noodzakelijk.
Organisaties met minder dan 250 werknemers moeten toch een verwerkingsregister bijhouden indien:
De eerste en de derde voorwaarde zijn in de meeste gevallen duidelijk. Als je (structureel) gevoelige gegevens verwerkt, zoals medische gegevens of strafrechtelijke gegevens, dan moet je een verwerkingsregister bijhouden.
Het is de tweede uitzondering die problemen oplevert. Want wanneer definieer je een verwerking als ‘niet incidenteel’? Een kleine organisatie die enkele niet-incidentele verwerkingen van persoonsgegevens uitvoert is al verplicht een verwerkingsregister opstellen. Niet-incidenteel mogen we in deze context omschrijven als “met enig structureel of voortdurend karakter”. Het bijhouden van een salarisadministratie en klantenbestand, en zelfs het gebruik van e-mail vallen hier dus onder.
Om er zeker van te zijn dat je als organisatie aan de verplichtingen voldoet, raadt de Gegevensbeschermingsautoriteit elke organisatie aan om een verwerkingsregister op te stellen (zie https://www.gegevensbeschermingsautoriteit.be/faq-themas/register-van-de-verwerkingsactiviteiten). Het geeft ook mee dat een dergelijk register een bijzonder nuttig overzicht biedt van alle verwerkingen van de organisatie, en dat het daarom zeker de de tijd en moeite loont om het op te stellen.
De Gegevensbeschermingsautoriteit vermeldt verder dat het register voor ondernemingen met minder dan 250 werknemers beperkt mag blijven tot de niet-incidentele verwerkingen. Dat betekent dat het register er voor deze organisaties heel wat eenvoudiger uitziet. Vergeet wel niet dat ook de verwerkingen die een risico inhouden voor de rechten en vrijheden van de betrokkene moeten worden opgenomen in het verwerkingsregister.
Het dataregister bevat verwerkingsactiviteiten… Maar wat wordt daar precies mee bedoeld? Hoe diep mag ik gaan om iets als verwerkingsactiviteit te bestempelen?
Artikel 30 van de AVG bevat een overzicht van de informatie die per verwerkingsactiviteit moet worden geregistreerd. Wat er met ‘verwerkingsactiviteit’ bedoeld wordt, daar blijft de AVG enigszins vaag over… wat betekent dat organisaties zelf moeten bepalen tot welk niveau ze verwerkingsactiviteiten zullen definiëren. Geen eenvoudige klus. Voorbeelden van verwerkingsactiviteiten zijn: salarisadministratie, bepaalde bedrijfsanalyses, recruteringscampagnes en het versturen van nieuwsbrieven. Door data te inventariseren (stap 5 uit deze reeks nieuwsberichten) ga je na hoe data uit een bepaalde bron wordt aangewend om een verwerkingsactiviteit te voltooien en zal het duidelijk worden hoe risicovol of hoe veilig die activiteit eigenlijk wel is. Door in die stap databronnen (bv. bepaalde softwaredatabases) met datastromen (het pad dat data aflegt) te linken, kun je nagaan wat de verwerkingsactiviteiten zijn per dienst.
Heeft V-ICT-OR nog tips omtrent het opstellen van het verwerkingsregister?
Bron afbeelding: https://www.frankwatching.com/archive/2018/01/29/gdpr-aandachtspunten-digital-marketeers/