X

Actueel

05jul

De CMDB voor persoonsgegevens

Door: Kees Mastwijk

Eerder hebben we op onze website aandacht besteed aan het nut en de noodzaak van een CMDB. In het licht van de AVG/GDPR is een soortgelijk overzicht of inventarisatie verplicht als uw organisatie verantwoordelijk is voor de verwerking van persoonsgegevens. Met andere woorden: je bent verantwoordelijke als jij het doel bepaalt voor de betreffende verwerking.

 

Register van verwerkingsactiviteiten

Binnen de AVG wordt dit overzicht een register van verwerkingsactiviteiten genoemd. Dit register is onderdeel van het zogenaamde ‘verantwoordingsprincipe’. Naleving van de AVG is een eigen verantwoordelijkheid, en de Autoriteit Persoonsgegevens kan u vragen naar de maatregelen die u heeft genomen. Het register van verwerkingsactiviteiten is een van de voorbeelden die u moet kunnen overhandigen.

Hoe ziet zo’n register er uit? Het goede nieuws is dat er geen strikte eisen zijn aan de opzet van het register. Wel zijn er eisen ten aanzien van de informatie die er in opgenomen moet zijn. Enkele voorbeelden hiervan zijn algemene informatie over de organisatie en contactpersonen en andere organisaties die als verwerker optreden.

Daarnaast is het voor elke verwerking belangrijk dat het doel is beschreven waarvoor de persoonsgegevens worden verwerkt. Hier kan ook worden verwezen naar de grondslag voor de verwerking: op basis waarvan mag/moet u de gegevens vastleggen? Een specificatie van de categorieën en types persoonsgegevens hoort daar bij, de bewaartermijnen en de ‘technische en organisatorische maatregelen’ die zijn getroffen om de gegevens goed te kunnen beschermen. Het opnemen van de locaties waar de persoonsgegevens zijn opgeslagen zou een goede aanvulling zijn op het register.

 

Rechten van betrokkenen

Het register is geen doel op zich. Een goed register van verwerkingsactiviteiten draagt ook bij aan het invullen van andere AVG eisen. Zoals de rechten van de personen waarvan u de persoonsgegevens vastlegt. Zij hebben recht om hun gegevens in te zien, te (laten) wijzigen, te laten verwijderen, en over te dragen naar een andere organisatie. Voldoen aan deze verzoeken (en deze zullen vroeg of laat komen) is een stuk makkelijker als u kunt terug vallen op een register.

Er is binnen de Vest GDPR portal een (gratis) template beschikbaar voor wie het wiel van het register niet opnieuw wil uitvinden. Nog geen toegang tot de GDPR portal? Stuur een mail naar gdpr@vest.nl met naam en (zakelijke) e-mailadres!

Related

Vest op Linkedin

Vest op Linkedin

Als Vest zijnde blijven wij graag in contact met ons netwerk. Naast het persoonlijke kopje koffie zi...

Read More >
De ontwikkeling van de Corona app

De ontwikkeling van de Corona app

Begin april kondigde de overheid aan dat er apps zouden worden gaan ingezet voor het verzamelen van ...

Read More >
Eat, sleep, learn.... repeat

Eat, sleep, learn.... repeat

De “nieuwe” wet Algemene Verordening Gegevensbescherming bestaat al enige tijd en voor veel organi...

Read More >
Website hardening tips

Website hardening tips

Iedere beheerder heeft (als het goed is) gehoord van hardening. Door services uit te schakelen en st...

Read More >
Overzicht AVG-klachten 2018

Overzicht AVG-klachten 2018

Nu 2018 achter ons ligt, kunnen we terugblikken op het jaar waarin de AVG van kracht werd. In dit ar...

Read More >
Over whitelisting...

Over whitelisting...

Soms vragen wij bij een security test om beveiligingsmaatregelen uit te schakelen. In dit artikel le...

Read More >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.