Register van verwerkingsactiviteiten

Uit NORA Online
ISOR:Register van verwerkingsactiviteiten
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)

Verwante principes

Privacy Uitvoering: het uitvoeringsdomein
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Om de naleving van de AVG aan te kunnen tonen dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevondenAVG overweging 82..
Binnen een organisatie kan dit via gegevensmanagement worden vastgelegd. De vastlegging maakt duidelijk hoe de verschillende organisatieonderdelen de bedrijfsprocessen ondersteunen en welke beveiligingsmaatregelen (op hoofdlijnen) zijn getroffen voor de verwerkingen en betrokkenen. Het register maakt toezicht op de verwerkingsactiviteiten mogelijk.


Criterium

De verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens.

Doelstelling

Het doel van een 'Register van verwerkingsactiviteiten' is inzicht te verstrekken in de verwerkingen en de gegevensstromen binnen de organisatie en bij de partijen die namens de organisatie zorgen voor de verwerking van persoonsgegevens.

Risico

Het niet hebben van een overzicht van verwerkingen leidt tot een incompleet beeld van de verwerkte categorieën persoonsgegevens en getroffen maatregelen voor de relevante verwerkingen, processen en technische systemen.

Indeling binnen ISOR

Dit privacyprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is AVG Art. 30

Onderliggende normen

IDConformiteitsindicatorStellingPagina
PRIV_U.02.01.01registerElke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke.Register van verwerkingsverantwoordelijke
PRIV_U.02.01.02registerHet register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
  1. De naam en de contactgegevens van:
    1. De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
    2. In voorkomend geval:
      1. Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
      2. Van de Functionaris voor Gegevensbescherming;
  2. De verwerkingsdoeleinden;
  3. Een beschrijving van de categorieën van betrokkenen;
  4. Een beschrijving van de categorieën persoonsgegevens;
  5. De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  6. Bij doorgiften aan een derde land of een internationale organisatie:
    1. De doorgifte van verstrekte persoonsgegevens;
    2. De vermelding van dat derde land of die internationale organisatie;
    3. De documenten inzake de passende waarborgen;
  7. De beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist (indien mogelijk);
  8. Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
Inhoud van het register van verwerkingsactiviteiten
PRIV_U.02.01.03registerDe verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker.Register van verwerker, categorieën van verwerkingsactiviteiten
PRIV_U.02.01.04registerHet register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:
  • De naam en de contactgegevens van:
    1. De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
    2. In voorkomend geval:
      1. Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
      2. Van de Functionaris voor gegevensbescherming;
  • De categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  • Bij doorgiften aan een derde land of een internationale organisatie:
    1. De doorgifte van verstrekte persoonsgegevens
    2. De vermelding van dat derde land of die internationale organisatie
    3. De documenten inzake de passende waarborgen;
  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
  • Register van verwerker, inhoud van het register
    PRIV_U.02.01.05registerHet register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.Register van verwerker, in schriftelijke elektronische vorm
    PRIV_U.02.01.06registerHet register hoeft niet te worden bijgehouden indien:
  • De onderneming of organisaties minder dan 250 personen in dienst heeft,
  • Het niet waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen,
  • De verwerking incidenteel is, en:
  • Geen verwerking plaatsvindt van bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.
  • Register van verwerker, niet bijgehouden als …
    PRIV_U.02.02.01actueel en samenhangend beeldDe registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld.De registers geven een samenhangend beeld
    PRIV_U.02.02.02actueel en samenhangend beeldOp verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Actueel beeld voor de AP
    PRIV_U.02.02.03actueel en samenhangend beeldDe onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen:
  • De bedrijfsprocessen;
  • Organisaties en organisatieonderdelen;
  • De verwerkingen;
  • De locaties waar persoonsgegevens worden opgeslagen;
  • De gegevensuitwisselingen (binnen en buiten de eigen organisatie);
  • De systemen.
  • Beschrijving gegevensstromen
    PRIV_U.02.02.04actueel en samenhangend beeldBij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register.Resultaten DPIA in register