X

Actueel

05jul

De CMDB voor persoonsgegevens

Eerder hebben we op onze website aandacht besteed aan het nut en de noodzaak van een CMDB. In het licht van de AVG/GDPR is een soortgelijk overzicht of inventarisatie verplicht als uw organisatie verantwoordelijk is voor de verwerking van persoonsgegevens. Met andere woorden: je bent verantwoordelijke als jij het doel bepaalt voor de betreffende verwerking.

Register van verwerkingsactiviteiten
Binnen de AVG wordt dit overzicht een register van verwerkingsactiviteiten genoemd. Dit register is onderdeel van het zogenaamde ‘verantwoordingsprincipe’. Naleving van de AVG is een eigen verantwoordelijkheid, en de Autoriteit Persoonsgegevens kan u vragen naar de maatregelen die u heeft genomen. Het register van verwerkingsactiviteiten is een van de voorbeelden die u moet kunnen overhandigen.

Hoe ziet zo’n register er uit? Het goede nieuws is dat er geen strikte eisen zijn aan de opzet van het register. Wel zijn er eisen ten aanzien van de informatie die er in opgenomen moet zijn. Enkele voorbeelden hiervan zijn algemene informatie over de organisatie en contactpersonen en andere organisaties die als verwerker optreden.

Daarnaast is het voor elke verwerking belangrijk dat het doel is beschreven waarvoor de persoonsgegevens worden verwerkt. Hier kan ook worden verwezen naar de grondslag voor de verwerking: op basis waarvan mag/moet u de gegevens vastleggen? Een specificatie van de categorieën en types persoonsgegevens hoort daar bij, de bewaartermijnen en de ‘technische en organisatorische maatregelen’ die zijn getroffen om de gegevens goed te kunnen beschermen. Het opnemen van de locaties waar de persoonsgegevens zijn opgeslagen zou een goede aanvulling zijn op het register.

Rechten van betrokkenen
Her register is geen doel op zich. Een goed register van verwerkingsactiviteiten draagt ook bij aan het invullen van andere AVG eisen. Zoals de rechten van de personen waarvan u de persoonsgegevens vastlegt. Zij hebben recht om hun gegevens in te zien, te (laten) wijzigen, te laten verwijderen, en over te dragen naar een andere organisatie. Voldoen aan deze verzoeken (en deze zullen vroeg of laat komen) is een stuk makkelijker als u kunt terug vallen op een register.

Er is binnen de Vest GDPR portal een (gratis) template beschikbaar voor wie het wiel van het register niet wil opnieuw wil uitvinden. Nog geen toegang tot de GDPR portal? Stuur een mail naar gdpr@vest.nl met naam en (zakelijke) e-mailadres!

Related

Handhaving AVG door Autoriteit Persoonsgegevens

Handhaving AVG door Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens lijkt de AVG handhavingsstrategie te volgen die het had aangekondigd ...

Read More >
OWASP top 10

OWASP top 10

Soms krijgen we de vraag om een OWASP top 10 test te doen. Maar die test bestaat niet...

Read More >
IT & Information Security Congres 2019

IT & Information Security Congres 2019

Op woensdag 13 februari staat Vest weer als business partner op het IT & Information Security Congre...

Read More >
Mobiele applicatie security testing

Mobiele applicatie security testing

Voldoet uw mobiele app aan al de eisen? Denk hierbij aan ISO27001, GDPR, AVG, PCI en meer. Samen met...

Read More >
Een datalek zit in een klein hoekje

Een datalek zit in een klein hoekje

De mogelijke effecten van het lekken van gevoelige gegevens kunnen inderdaad tegenwoordig flink verg...

Read More >
Senior Security Consultant gezocht!

Senior Security Consultant gezocht!

Wil jij graag verschil maken en je passie voor security in je dagelijks werk uitvoeren? Wil jij same...

Read More >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.