Login
Service Contact Lex4You
Login

GDPR dataregister bijhouden: drie vliegen in één klap

Mogen we u een goed voornemen voorstellen? Niet voor uw sport- of eetgewoonten, maar wel voor het ‘juridisch onderhoud’ van uw zaak. De punctuele zielen onder ons doen jaarlijks een nazicht van hun arbeidsdocumenten, algemene voorwaarden, samenwerkingscontracten, enzovoort. Maar laten we ons goede voornemen haalbaar houden en beginnen met één van de basics: recht op privacy.

Laatst bijgewerkt op 9 januari 2020 door Frederik Dhont

Veel ondernemingen zijn nog niet in orde met de nieuwe Europese privacyregels (GDPR of AVG). Sommige hebben snel een privacyverklaring van internet geplukt en op hun website gezet. Maar dat volstaat niet om te voldoen aan de documentatieplicht. Lees: het bijhouden van een papierspoor over de persoonsgegevens waarmee u in aanraking komt.


Twee vliegen in één klap

Door het bijhouden van een intern register van de verwerkingsactiviteiten, ook dataregister genoemd, slaat u minstens twee vliegen in één klap. Omdat u in het register al uw activiteiten rond persoonsgegevens in kaart brengt, zet u vooreerst de belangrijkste stap in het voldoen aan uw documentatieplicht.

Ten tweede is het bijhouden van zo’n register ook wettelijk verplicht. Even was er twijfel of ook kleine ondernemingen registerplicht hadden, maar volgens de Gegevensbeschermingsautoriteit ontsnapt praktisch niemand eraan. Zodra u één klant, leverancier of personeelslid heeft, moet u een dataregister bijhouden.


Is er een voorbeelddocument voor het dataregister?

Nee, er bestaat momenteel geen officieel voorbeelddocument voor het dataregister. Alle registers zijn toegelaten, zolang ze de wettelijk vastgelegde minimuminhoud bevatten. Wel stelt de Gegevensbeschermingsautoriteit een model van register ter beschikking op haar site. Omdat dat een blanco model is, kan het echter nogal tijdrovend zijn om van dat voorbeelddocument te beginnen.
Op zoek naar een eenvoudig en gebruiksvriendelijk register? Surf naar onze e-shop.


Moet ik het register bekendmaken?

Nee, in tegenstelling tot uw privacyverklaring, is het dataregister niet bedoeld voor de buitenwereld. Buiten uzelf, uw bevoegde medewerkers en de Gegevensbeschermingsautoriteit heeft niemand er zaken mee.

Maar… eenmaal u het dataregister heeft voltooid, kunt u die inzichten gebruiken om een correcte privacyverklaring op te stellen voor de buitenwereld. De derde vlieg in één klap dus!


Wat moet er in een GDPR-register staan?

Eerst en vooral moet u de contactgegevens van de verwerkingsverantwoordelijke opnemen. Dat is de onderneming die eindverantwoordelijke is voor de persoonsgegevens. Als u een Data Protection Officer heeft aangesteld, vermeldt u dit ook. Optioneel kunt u ook vermelden met welke verwerkers u samenwerkt. Dat is geen slecht idee in het kader van uw documentatieplicht! Vervolgens vult u het echte register in. Hier gaan we zogezegd rondwandelen in de onderneming en een inventaris maken van alle activiteiten rond gegevensverwerking:

  • Welke persoonsgegevens verwerkt u? (bv. mailadres, gsm-nr., foto’s, …)
  • Van wie verwerkt u gegevens? (bv. B2C-klanten, medewerkers, interessante contacten, …)
  • Waarom verwerkt u die gegevens? (bv. klantenbeheer, direct marketing, sollicitaties, …)
  • Met welke derden deelt u de gegevens? Derden binnen of buiten de EU?
  • Hoelang bewaart u de gegevens?
  • Welke juridische grondslag gebruikt u voor de verwerking? (bv. toestemming, uitvoering contract, gerechtvaardigd belang)
  • Welke maatregelen neemt u om de gegevens veilig te houden? (bv. paswoordcontrole, back-ups, verwerkingsovereenkomst)


Klaar! Wat doe ik nu met het register?

Klaar met uw register? Bewaar het dan in een centrale GDPR-map, waar u alles verzamelt rond uw documentatieplicht. Zo kunt u met één klik tonen dat u privacy serieus neemt.

Opgelet, u moet het register onderhouden zodat het steeds up-to-date is. Bewaar de oude versies van het register als een soort ‘paper trail’. Maak er tot slot ook back-ups van, zodat het register niet verloren gaat bij een crash of inbraak op uw systemen.

Elke onderneming, groot of klein, krijgt met persoonsgegevens te maken. Securex helpt u graag verder met documenten of advies op maat.

Contacteer ons
Frederik Dhont
Juridisch schrijver en spreker

Frederik is juridisch schrijver en spreker bij Securex sinds november 2019. Zijn missie? Glashelder uitleggen aan bedrijfsleiders wat de dagelijkse stroom van sociale wetten voor hen betekent. Daarvoor was hij drie jaar lang juridisch adviseur voor startende en gevestigde ondernemers.

Frederik haalde een master in de rechten aan de UGent, met een specialisatie in sociaal recht aan de Université Libre de Bruxelles. Hij voltooide ook een postgraduaat Digital Content & Journalism aan Arteveldehogeschool.

In zijn vrije tijd is hij poppianist en speelt hij keytar in de jaren ’80 tributeband Radio Spandex.

Dit zou u ook kunnen interesseren