Aan de hand van een praktische checklist kan op een eenvoudige manier afgetoetst worden of u aan alle wettelijke verplichtingen voldoet. Dit stelt u ook in staat om daar waar nodig bij te sturen.

De GDPR voorziet dat elke verantwoordelijke  een intern register van verwerkingsactiviteiten moet bijhouden. Er bestaat wel een uitzondering op deze verplichting, maar deze uitzondering is quasi volledig uitgehold. De uitzondering bestaat er in dat organisaties met minder dan 250 werknemers geen register moeten opstellen. Deze organisaties dienen alsnog een register op te stellen wanneer de verwerking:

• een risico inhoudt voor de betrokkene,
• gevoelige en/of strafrechtelijke persoonsgegevens betreft,
• niet incidenteel is (dus verwerkingen die regelmatig gebeuren zijn wel op te nemen in een register).

Het komt er dus op neer dat iedere organisatie een register zal moeten opstellen.  Een organisatie (de verwerkingsverantwoordelijke) dient één register per verwerkingsdoeleinde op te stellen. Verwerkingsdoeleinden kunnen bijvoorbeeld zijn :

• personeelsbeheer;
• loonadministratie;
• klantenbeheer;
• direct marketing;
• controle op het personeel door middel van e-mail en internetmonitoring, etc.

De organisatie dient minstens de volgende zaken in het register op te nemen:

• naam en contactgegevens van de verwerkingsverantwoordelijke (de organisatie);
• naam en contactgegevens van de Data Protection Officer, indien aangesteld;
• verwerkingsdoeleinden (vb. personeelsbeheer, klantenbeheer, …);
• beschrijving van de categorieën van betrokkenen (vb. werknemers, (contactpersonen van) klanten, zelfstandige dienstverleners, …);
• beschrijving van de categorieën van persoonsgegevens (vb. identificatiegegevens; beroep; opleidingen; financiële gegevens; gezondheidsgegevens; politieke overtuiging, …);
• categorieën van ontvangers van persoonsgegevens (vb. interne ontvangers (HR-departement); externe ontvangers (sociaal secretariaat, verzekeringen, …);
• ontvangers gevestigd buiten de Europese Economische Ruimte (vb. Verenigde Staten van Amerika);
• bewaartermijn van de categorieën van persoonsgegevens (1 jaar);
• algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Het kan aangeraden zijn om nog bijkomende zaken in het register op te nemen aangezien deze toch moeten worden gecommuniceerd aan de betrokkene zoals bijvoorbeeld de juridische grondslag om persoonsgegevens te verwerken of de specifieke waarborgen bij het doorgeven van persoonsgegevens buiten de Europese Economische Ruimte.

Het register is een document dat de organisatie ter beschikking moet houden van de Privacy commissie. De autoriteit zal deze registers immers als eerste opvragen in geval van vragen over één of meerdere verwerkingen aangezien dit onmiddellijk een eerste zicht geeft over de verwerkingen binnen de organisatie.

Naast de checklist werd door BMK Solutions ook het verwerkingsregister geprogrammeerd. Aan de hand van een keuzemenu kan u als verwerkingsverantwoordelijke op een eenvoudige en snelle manier de benodigde gegevens ingeven om zo tot een verwerkingsregister te komen dat voldoet aan de vigerende wetgeving.

Er is sprake van een datalek als er een inbreuk plaatsvindt op de beveiliging van persoonsgegevens. Dat is bijvoorbeeld het geval wanneer onbedoeld toegang wordt geboden tot persoonsgegevens of als sprake is van vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie. Niet alleen het vrijkomen of lekken van gegevens resulteert in een datalek, ook wanneer onrechtmatig gegevens worden verwerkt is hiervan sprake. Om een voorval te kunnen kwalificeren als een datalek, moet sprake zijn van een daadwerkelijk beveilingingsincident. Dit is niet alleen het geval bij inbraak in een databestand (hacken), ook een kwijtgeraakte usb-stick, een gestolen laptop, een laptop die in de trein is blijven liggen of een brand in een datacentrum zijn datalekken.
Als een verwerkingsverantwoordelijke zich bewust is geworden van een datalek moet hij dit meteen, waar mogelijk binnen 72 uur, melden aan de Privacy commissie. Lukt dat niet,  dan zal een verklaring gegeven moeten worden voor de vertraging. De meldplicht is niet van toepassing als het onwaarschijnlijk is dat de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 33 AVG).
Betrokkene moet ook worden geïnformeerd over de inbreuk, wanneer het waarschijnlijk is dat de inbreuk resulteert in een hoog risico voor zijn rechten en vrijheden zodat hij eventueel voorzorgsmaatregelen kan treffen. Zowel de aard van de inbreuk als aanbevelingen over hoe hij mogelijke negatieve gevolgen kan beperken, moet hem gemeld worden (artikel 34 AVG).
Een melding aan betrokkene is niet nodig wanneer er maatregelen conform de AVG zijn getroffen en deze zijn toegepast op de betreffende persoonsgegevens. De gegevens zijn bijvoorbeeld gepseudonimiseerd, zodat degene die de gegevens in handen krijgt niet kan achterhalen welke personen de gegevens betreffen. Een melding kan eveneens achterwege gelaten worden als achteraf maatregelen zijn genomen door de verwerkingsverantwoordelijke om te zorgen dat de hoge risico’s voor de rechten en vrijheden van betrokkene zich waarschijnlijk niet meer voor zullen doen of de mededeling onevenredige inspanning vergt. In het laatste geval moeten betrokkenen op een andere, even doeltreffende manier, worden geïnformeerd, bijvoorbeeld door een openbare mededeling (artikel 34 AVG).

Een verwerkingsverantwoordelijke is ook onder de AVG verplicht alle inbreuken te documenteren, met inbegrip van de feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen (artikel 33, vijfde lid AVG). Hierdoor is de Privacy commisie in staat naleving van de AVG te controleren.

Alle mogelijke datalekken documenteren geeft een bijkomende administratieve last voor de ondernemingen. Dankzij onze tool kan de verwerkingsverantwoordelijke elk datalek plaats- en tijd ongebonden documenteren, zowel met de smartphone als vanop de PC. Het incidentenregister geeft ook aan onze klanten de mogelijkheid om daar waar nodig verbeteringen aan te brengen op gebied van gegevensbescherming of werkprocessen bij te sturen zodat datalekken niet meer kunnen voorvallen.

Na het doorlopen van de bovenstaande stappen is uw bedrijf gdpr compliant. De digitale wereld is echter constant in verandering waardoor het opportuun is om op regelmatige basis een audit uit te voeren op het dataverwerkingsproces. Aan de hand van de registers bent u perfect in staat om daar waar nodig de werkprocessen te verbeteren en of bij te sturen. Om deze verbeteringen bij te houden is het Audit onderdeel toegevoegd aan PrivacyPro. Hierin kan men heel eenvoudig aangeven welke acties men onderneemt om gdpr compliant te worden en te blijven. Denk hierbij niet alleen aan technische en organisatorische maatregelen, maar ook bewustmaking van medewerkers.
Deze acties documenteren geeft niet alleen pluspunten bij een doorlichting van de privacy commissie, maar zorgt er ook voor dat u een duidelijk overzicht heeft over uw genomen en geplande acties.

Wanneer men aan u eigen persoonsgegevens opvraagt moet u deze binnen de 48 uur kunnen aanleveren.
Een eerste stap is uiteraard toegang krijgen tot alle persoonsgegevens. Op het eerste zicht misschien een eenvoudige klus, maar dat is het niet noodzakelijk. Bedrijven en organisaties gebruiken vaak de meest uiteenlopende databronnen, gaande van databases over Excel-files tot pdf's die op diverse toestellen staan. Al die gegevensbronnen handmatig selecteren, is een tijdrovende en onzekere bezigheid. Daarom is het efficiënter een technologische connectie te leggen.
Eens die connectie is gemaakt, kan een zoekrobot de gegevens identificeren en terugvinden.