GDPR data mapping uitgelegd en waarom het belangrijk is
Als je hier bent, wil je waarschijnlijk meer weten over GDPR data mapping. We hebben het voor je geregeld! 👀 In deze korte post bekijken we wat datamapping is en waarom het zo belangrijk is voor GDPR-compliance.
Wat is data mapping?
Data mapping is een methode voor het bijhouden en catalogiseren van alle gegevens die u verzamelt, gebruikt en opslaat.
👉 Het beschrijft de soorten gegevens en de bewegingen/overdrachten ervan in uw bedrijf en daarbuiten (bijvoorbeeld gegevensoverdracht tussen verschillende afdelingen, aan derden, verwerkers, andere landen enz.)
Hoe wordt een gegevenskaart gewoonlijk opgezet?
Wanneer gegevensactiviteiten “eenvoudig” lijken, kan het verleidelijk zijn om een gewone spreadsheet te gebruiken of een snelle notitie te maken.
Alles bijhouden (soorten gegevens, derden, enz.) kan echter heel ingewikkeld zijn en daarom raden wij u aan een specifiek instrument te kiezen om een uitgebreide en gedetailleerde gegevensregistratie op te bouwen (zoals de wet voorschrijft).
Wat is datamapping volgens de GDPR?
De GDPR (Algemene verordening gegevensbescherming) vereist dat zowel de voor de verwerking verantwoordelijken als de verwerkers een “volledige en uitgebreide” actuele registratie bijhouden en bijhouden van de specifieke gegevensverwerkingsactiviteiten die zij uitvoeren.
In het algemeen moeten de verslagen het volgende bevatten
De naam en contactgegevens van de verwerkingsverantwoordelijke en de verwerker die namens hen optreedt, alsmede de vertegenwoordiger van de verwerker of de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming, indien van toepassing;
Een beschrijving van de verschillende categorieën gebruikers en gegevens (ook van derden);
De categorieën ontvangers van gegevens, met inbegrip van ontvangers uit derde landen die geen lid zijn van de EU of internationale organisaties;
Het doel van de verwerkingsactiviteiten;
Doorgifte van persoonsgegevens naar een derde land en de identificatie van dat derde land of die internationale organisatie, met inbegrip van documentatie over passende waarborgen (indien van toepassing);
Verwachte termijnen voor het wissen van de verschillende categorieën gegevens (waar mogelijk);
De technische en organisatorische beveiligingsmaatregelen die in algemene termen worden beschreven (waar mogelijk).
💡 Wanneer zijn uitgebreide verslagen vereist?
Volledige en uitgebreide registratie van de verwerking is uitdrukkelijk vereist in gevallen waarin de gegevensverwerkingsactiviteiten:
niet occasioneel* zijn; of
zou kunnen leiden tot een risico voor de rechten en vrijheden van anderen; of
de verwerking van “bijzondere categorieën van gegevens” inhouden; of
wordt uitgevoerd door een organisatie met meer dan 250 werknemers.
*In wezen betekent dit dat het vereist is in bijna elk geval van verwerking. Vergeet niet dat IP-adressen als persoonsgegevens worden beschouwd!
👉 Kortom, organisaties moeten identificeren en bijhouden welke soorten persoonsgegevens zij verwerken, waar ze vandaan komen en waar ze naartoe gaan, en welke systemen erbij betrokken zijn.
Waarom is GDPR data mapping zo belangrijk?
Natuurlijk, naast het voldoen aan een cruciale wettelijke eis van een van de belangrijkste privacywetten ter wereld (de GDPR), helpt data mapping organisaties om:
duidelijk zijn over welke gegevens zij bewaren, waarom en met wie zij worden gedeeld;
mogelijke risico’s voor de privacy van gebruikers vaststellen en nagaan hoe die kunnen worden verholpen;
waar nodig maatregelen treffen voor meer veiligheid en veiliger praktijken.
👉 Het regelmatig uitvoeren van informatie-audits op de gegevens van uw organisatie kan nuttig zijn. Zo voldoet u niet alleen aan uw verplichtingen inzake het bijhouden van gegevens, maar kunt u ook uw procedures voor gegevensverwerking gemakkelijker herzien en optimaliseren.
💡 Data mapping is ook een nuttig instrument voor DPIA’s (Data Protection Impact Assessments).:
Door een DPIA uit te voeren, kunt u de risico’s in verband met de verwerking van persoonsgegevens beoordelen en minimaliseren. Zoals vermeld in artikel 35 van de GDPR is een DPIA alleen verplicht wanneer er een groot risico bestaat dat de rechten en vrijheden van gebruikers worden geschonden..
De uitvoering van al het bovenstaande kan lastig en vrij technisch zijn.
iubenda’s Register van de gegevensverwerkingsactiviteiten tool is erg handig omdat het het technische proces van het aanmaken en bijhouden van uw verwerkingsadministratie sterk vereenvoudigt. Kijk maar!
Begin nu met het in kaart brengen van uw gegevensactiviteiten