Register van verwerkingsactiviteiten

Uit NORA Online
ISOR:Register van verwerkingsactiviteiten
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Privacyprincipe)
ID: PRIV_U.02
Privacyprincipe
Versie: 3.3
Status: Actueel
PublicatiedatumDatum waarop document het laatst is gepubliceerd (http://standaarden.overheid.nl/owms/4.0/doc/eigenschappen/dcterms.modified): 16-10-2017
Redactionele wijzigingsdatumDatum waarop de laatste versie is geïmplementeerd of de laatste wijziging is aangebracht.: 10-9-2020
Indeling
Beveiligingsaspect:
Paars vierkant kader met daarin in wit de U van Uitvoering
Uitvoering
Invalshoek:
alt=Onbekend link = IFGS Structuur

Onbekend

Verwante principes

Privacy Uitvoering: het uitvoeringsdomein
de Privacy Baseline
Alle Normenkaders
Alle Privacyprincipes
Alle Normen
Beveiligingsaspecten
Invalshoeken
ISOR

Om de naleving van de AVG aan te kunnen tonen dient de verwerkingsverantwoordelijke of de verwerker een register bij te houden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid hebben plaatsgevondenAVG overweging 82..
Binnen een organisatie kan dit via gegevensmanagement worden vastgelegd. De vastlegging maakt duidelijk hoe de verschillende organisatieonderdelen de bedrijfsprocessen ondersteunen en welke beveiligingsmaatregelen (op hoofdlijnen) zijn getroffen voor de verwerkingen en betrokkenen. Het register maakt toezicht op de verwerkingsactiviteiten mogelijk.


Criterium

De verwerkingsverantwoordelijke en de verwerker hebben hun gegevens over de gegevensverwerkingen in een register vastgelegd, daarbij biedt het register een actueel en samenhangend beeld van de gegevensverwerkingen, processen en technische systemen die betrokken zijn bij het verzamelen, verwerken en doorgeven van persoonsgegevens.

Doelstelling

Het doel van een 'Register van verwerkingsactiviteiten' is inzicht te verstrekken in de verwerkingen en de gegevensstromen binnen de organisatie en bij de partijen die namens de organisatie zorgen voor de verwerking van persoonsgegevens.

Risico

Het niet hebben van een overzicht van verwerkingen leidt tot een incompleet beeld van de verwerkte categorieën persoonsgegevens en getroffen maatregelen voor de relevante verwerkingen, processen en technische systemen.

Indeling binnen ISOR

Dit privacyprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is AVG Art. 30

Onderliggende normen

IDConformiteitsindicatorStelling
PRIV_U.02.01.01 register

Elke verwerkingsverantwoordelijke houdt een register bij van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerkingsverantwoordelijke.

PRIV_U.02.01.02 register

Het register van de verwerkingsverantwoordelijke met de verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:

  1. De naam en de contactgegevens van:
    1. De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
    2. In voorkomend geval:
      1. Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
      2. Van de Functionaris voor Gegevensbescherming;
  2. De verwerkingsdoeleinden;
  3. Een beschrijving van de categorieën van betrokkenen;
  4. Een beschrijving van de categorieën persoonsgegevens;
  5. De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
  6. Bij doorgiften aan een derde land of een internationale organisatie:
    1. De doorgifte van verstrekte persoonsgegevens;
    2. De vermelding van dat derde land of die internationale organisatie;
    3. De documenten inzake de passende waarborgen;
  7. De beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist (indien mogelijk);
  8. Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
PRIV_U.02.01.03 register

De verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die ten behoeve van de verwerkingsverantwoordelijke plaatsvinden, tenzij er een uitzonderingsgrond is (PRIV_U.02.01.06: Register van verwerkerkingen niet bijhouden). In voorkomend geval gebeurt de registratie door een vertegenwoordiger van de verwerker.

PRIV_U.02.01.04 register

Het register van de verwerker met alle categorieën van verwerkingsactiviteiten bevat alle volgende gegevensAVG Art. 30 lid 1:

  1. De naam en de contactgegevens van:
    1. De verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken, en:
    2. In voorkomend geval:
      1. Van de vertegenwoordiger van de verwerkingsverantwoordelijke, en:
      2. Van de Functionaris voor gegevensbescherming;
  2. De categorieën van verwerkingen die voor rekening van iedere verwerkingsverantwoordelijke zijn uitgevoerd;
  3. Bij doorgiften aan een derde land of een internationale organisatie:
    1. De doorgifte van verstrekte persoonsgegevens
    2. De vermelding van dat derde land of die internationale organisatie
    3. De documenten inzake de passende waarborgen;
  4. Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk).
PRIV_U.02.01.05 register

Het register is in schriftelijke vorm, waaronder in elektronische vorm, opgesteld.

PRIV_U.02.01.06 register

Het register hoeft niet te worden bijgehouden indien:

  1. De onderneming of organisaties minder dan 250 personen in dienst heeft,
  2. Het niet waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen,
  3. De verwerking incidenteel is, en:
  4. Geen verwerking plaatsvindt van bijzondere categorieën van gegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.
PRIV_U.02.02.01 actueel en samenhangend beeld

De registers van de verwerkingsverantwoordelijke en van de verwerker geven één samenhangend beeld.

PRIV_U.02.02.02 actueel en samenhangend beeld

Op verzoek van de AP wordt middels de registers een actueel beeld gegevenWeergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

PRIV_U.02.02.03 actueel en samenhangend beeld

De onderlinge samenhang (gegevensstromen) en afhankelijkheden zijn benoemd en beschreven tussen:

  1. De bedrijfsprocessen;
  2. Organisaties en organisatieonderdelen;
  3. De verwerkingen;
  4. De locaties waar persoonsgegevens worden opgeslagen;
  5. De gegevensuitwisselingen (binnen en buiten de eigen organisatie);
  6. De systemen.
PRIV_U.02.02.04 actueel en samenhangend beeld

Bij wijzigingen in bestaande en nieuwe verwerkingen worden de resultaten vanuit de gegevensbeschermingseffectbeoordeling (DPIA) meegenomen als onderdeel van de opname van de verwerking in het register.

Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR:Register_van_verwerkingsactiviteiten&oldid=43729"