Register van verwerkingsactiviteiten

Uit NORA Online
ISOR:Register van verwerkingsactiviteiten
Ga naar: navigatie, zoeken
 
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)
ID: PRIV_U.02
Privacyprincipe
Versie: 3.1
Status: Actueel
Publicatiedatum:
Redactionele wijzigingsdatum: 2017/10/16
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de U van Uitvoering
Uitvoering
Invalshoek:
Blauw vierkant kader met daarin in wit de G van Gedrag

Gedrag

Verwante principes

Privacy Uitvoering
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Om de naleving van de Avg aan te kunnen tonen, dient de verwerkingsverantwoordelijke of de verwerker, een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevondenAVG overweging 82.. Binnen een organisatie kan dit via gegevensmanagement worden vastgelegd. De vastlegging maakt duidelijk hoe de verschillende organisatieonderdelen de bedrijfsprocessen ondersteunen en welke beveiligingsmaatregelen (op hoofdlijnen) zijn getroffen voor de verwerkingen en betrokkenen. Het register maakt toezicht op de verwerkingsactiviteiten mogelijk.


Criterium

De verwerkingsverantwoordelijke en de verwerker hebben hun gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerkeneen bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. en doorgeven van persoonsgegevens.

Doelstelling

Het doel van een 'Register van verwerkingsactiviteiten' is inzicht te verstrekken in de verwerkingen en de gegevensstromen binnen de organisatie en bij de partijen die namens de organisatie zorgen voor de verwerking van persoonsgegevens.

Risico

Het niet hebben van een overzicht van verwerkingen leidt tot een incompleet beeld van de verwerkte categorieën van persoonsgegevens en getroffen maatregelen voor de relevante verwerkingen, processen en technische systemen.

Indeling binnen ISOR

Dit privacyprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is Algemene Verordening Gegevensbescherming (AVG), Uitvoeringswet AVG , in het bijzonder van Avg Art. 30 en Uitvoeringswet Avg.

Onderliggende normen

IDConformiteitsindicatorStellingPagina
PRIV_U.02.01.01registerElke verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (/01.06). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke.Register van verwerkingsverantwoordelijke
PRIV_U.02.01.02registerHet register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerdAVG art. 30 lid 1.:
  1. de naam en de contactgegevens van:
    1. de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
    2. in voorkomend geval:
      1. van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
      2. van de Functionaris voor de Gegevensbescherming;
  2. de verwerkingsdoeleinden;
  3. een beschrijving van de categorieën van betrokkenen;
  4. een beschrijving van de categorieën van persoonsgegevens;
  5. de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  6. bij doorgiften aan een derde land of een internationale organisatie:
    1. de doorgifte van verstrekte persoonsgegevens
    2. de vermelding van dat derde land of die internationale organisatie
    3. de documenten inzake de passende waarborgen;
  7. de beoogde termijnen waarbinnen de verschillende categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd moeten worden gewist (indien mogelijk);
  8. een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
Register van verwerkingsverantwoordelijke, inhoud van het register
PRIV_U.02.01.03registerDe verwerker houdt een register van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (/01.06). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker.Register van verwerker, categorieën van verwerkingsactiviteiten
PRIV_U.02.01.04registerHet register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerdAVG art. 30 lid 1.:

1) de naam en de contactgegevens van: a) de verwerkers b) iedere verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt. In voorkomend geval: i) de vertegenwoordiger van de verwerkingsverantwoordelijke, of: ii) de verwerker en van de Functionaris voor de Gegevensbescherming; 2) de categorieën van verwerkingen die voor rekening van iedere verwerkings-verantwoordelijke zijn uitgevoerd; 3) bij doorgiften aan een derde land of een internationale organisatie: a) de doorgifte van verstrekte persoonsgegevens b) de vermelding van dat derde land of die internationale organisatie c) de documenten inzake de passende waarborgen;

4) een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).		Register van verwerker, inhoud van het register
PRIV_U.02.01.05registerHet register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.Register van verwerker, in schriftelijke elektronische vorm
PRIV_U.02.01.06registerHet register hoeft niet te worden bijgehouden, indien:
  1. De onderneming of organisaties minder dan 250 personen in dienst heeft,
  2. het niet waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen,
  3. de verwerking incidenteel is, en:
  4. er geen verwerking plaatsvindt van bijzondere categorieën van gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd of persoons¬gegevensWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. Het betreft hier alle vormen van gegevens, zowel data uit informatiesystemen als records en documenten, in alle vormen zoals gestructureerd als ongestructureerd in verband met strafrechtelijke veroordelingen en strafbare feiten.
Register van verwerker, niet bijgehouden als …
PRIV_U.02.02.01actueel en samenhangend beeldDe registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld.Op verzoek van AP wordt middels de registers een actueel en samenhangend beeld
PRIV_U.02.02.02actueel en samenhangend beeldOp verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.Registers van de verwerkingsverantwoordelijke en van de verwerker geven één actueel en samenhangend beeld
PRIV_U.02.02.03actueel en samenhangend beeldDe onderlinge samenhang (gegevensstromen) en afhankelijkheden tussen:
  • de bedrijfsprocessen;
  • organisaties en organisatieonderdelen;
  • de verwerkingen;
  • de locaties waar persoonsgegevens opgeslagen;
  • de gegevensuitwisselingen (binnen en buiten de eigen organisatie);
  • de systemen zijn benoemd en beschreven.
    		• Actueel en samenhangend beeld t.a.v. gegevensstromen
    PRIV_U.02.02.04actueel en samenhangend beeldBij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (GEB) meegenomen als onderdeel van de opname van de verwerking in het register.Actueel en samenhangend beeld bij nieuwe en bij wijziging van bestaande verwerkingen
    Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Register_van_verwerkingsactiviteiten&oldid=31901"