X

Actueel

05jul

De CMDB voor persoonsgegevens

Door: Kees Mastwijk

Eerder hebben we op onze website aandacht besteed aan het nut en de noodzaak van een CMDB. In het licht van de AVG/GDPR is een soortgelijk overzicht of inventarisatie verplicht als uw organisatie verantwoordelijk is voor de verwerking van persoonsgegevens. Met andere woorden: je bent verantwoordelijke als jij het doel bepaalt voor de betreffende verwerking.

 

Register van verwerkingsactiviteiten

Binnen de AVG wordt dit overzicht een register van verwerkingsactiviteiten genoemd. Dit register is onderdeel van het zogenaamde ‘verantwoordingsprincipe’. Naleving van de AVG is een eigen verantwoordelijkheid, en de Autoriteit Persoonsgegevens kan u vragen naar de maatregelen die u heeft genomen. Het register van verwerkingsactiviteiten is een van de voorbeelden die u moet kunnen overhandigen.

Hoe ziet zo’n register er uit? Het goede nieuws is dat er geen strikte eisen zijn aan de opzet van het register. Wel zijn er eisen ten aanzien van de informatie die er in opgenomen moet zijn. Enkele voorbeelden hiervan zijn algemene informatie over de organisatie en contactpersonen en andere organisaties die als verwerker optreden.

Daarnaast is het voor elke verwerking belangrijk dat het doel is beschreven waarvoor de persoonsgegevens worden verwerkt. Hier kan ook worden verwezen naar de grondslag voor de verwerking: op basis waarvan mag/moet u de gegevens vastleggen? Een specificatie van de categorieën en types persoonsgegevens hoort daar bij, de bewaartermijnen en de ‘technische en organisatorische maatregelen’ die zijn getroffen om de gegevens goed te kunnen beschermen. Het opnemen van de locaties waar de persoonsgegevens zijn opgeslagen zou een goede aanvulling zijn op het register.

 

Rechten van betrokkenen

Het register is geen doel op zich. Een goed register van verwerkingsactiviteiten draagt ook bij aan het invullen van andere AVG eisen. Zoals de rechten van de personen waarvan u de persoonsgegevens vastlegt. Zij hebben recht om hun gegevens in te zien, te (laten) wijzigen, te laten verwijderen, en over te dragen naar een andere organisatie. Voldoen aan deze verzoeken (en deze zullen vroeg of laat komen) is een stuk makkelijker als u kunt terug vallen op een register.

Er is binnen de Vest GDPR portal een (gratis) template beschikbaar voor wie het wiel van het register niet opnieuw wil uitvinden. Nog geen toegang tot de GDPR portal? Stuur een mail naar gdpr@vest.nl met naam en (zakelijke) e-mailadres!

Related

Website hardening tips

Website hardening tips

Iedere beheerder heeft (als het goed is) gehoord van hardening. Door services uit te schakelen en st...

Read More >
Cybersecurity onderzoek in Nederland 2018

Cybersecurity onderzoek in Nederland 2018

Ook dit jaar heeft het NCSC een onderzoek gedaan naar de belangrijkste cybersecurity risico’s voor ...

Read More >
Vest - Gold Sponsor ISSA

Vest - Gold Sponsor ISSA

Onlangs heeft Vest het golden sponsorschap bij het Nederlandse chapter van ISSA.org weer verlengd. G...

Read More >
Data opslaan? Doe het safe!

Data opslaan? Doe het safe!

Consultant Marcel van der Wal zet 7 tips op een rijtje die bijdragen aan betere informatiebeveiligin...

Read More >
Cybercriminaliteit, welke risico's loop ik als horecaondermer?

Cybercriminaliteit, welke risico's loop ik als horecaondermer?

Voor veel horecaondernemers is cybercriminaliteit een ver-van-mijn-bed-show. Toch maakt de toenemend...

Read More >
Vest in tv-programma RTL Z How It's Done: Bekijk hier het fragment

Vest in tv-programma RTL Z How It's Done: Bekijk hier het fragment

Bekijk het How It's Done-fragment waarin Vest-oprichter en directeur Marc Hullegie aan het woord...

Read More >

Op de hoogte blijven van ons laatste nieuws?

Regelmatig delen onze Business Area Managers nieuws vanuit hun domein van expertise. Wilt u op de hoogte gehouden worden van deze nieuwsitems? Schrijf u dan nu in voor onze nieuwsbrief.