De Algemene Verordening Gegevensbescherming (AVG) (Verordening (EU) 2016/679), legt vast hoe persoonsgegevens rechtmatig moeten worden verwerkt (met inbegrip van de wijze waarop deze moeten worden verzameld, gebruikt, beschermd of hoe er in het algemeen mee moet worden omgegaan). Het doel van deze verordening is de gegevensbescherming te versterken voor alle personen wiens persoonsgegevens binnen het toepassingsgebied vallen. De controle over de persoonsgegevens komt hierdoor weer in eigen handen.
Het voldoen aan deze regels kan in de praktijk technische uitdagingen opleveren. Dit geldt in het bijzonder voor het register van de gegevensverwerkingsactiviteiten. De gebruikers moeten kunnen beschrijven welke gegevens zij verzamelen, voor welke doeleinden, welke partijen daarbij betrokken zijn en enkele andere gegevens voor het gehele bedrijf, waaronder gegevens van werknemers.
Meer achtergrondinformatie over de AVG vind je in onze uitgebreide gids over de AVG.
Deze gids is bedoeld om je stap voor stap door onze tool voor het register van de gegevensverwerkingsactiviteiten te begeleiden.
Houd er rekening mee dat: Hoewel de AVG vaak wordt vermeld als reden om meer aandacht te besteden aan een register van de gegevensverwerkingsactiviteiten, is onze tool niet exclusief daarvoor gemaakt. Ze kan ook worden gebruikt voor een register van de gegevensverwerkingsactiviteiten in het algemeen, zelfs door bedrijven die geen gebruikers of klanten binnen de EU hebben.
Lees verder of bekijk de volledige tutorial.
De AVG verplicht zowel verwerkingsverantwoordelijken als verwerkers om een register van verwerkingsactiviteiten bij te houden. De gegevens moeten schriftelijk worden vastgelegd, en dit kan ook in elektronische vorm. Het Register van de gegevensverwerkingsactiviteiten is speciaal ontworpen voor verwerkingsverantwoordelijken en verwerkers zodat zij aan deze eis kunnen voldoen.
Het register van verwerkingsactiviteiten moet op verzoek ter beschikking worden gesteld aan de toezichthoudende autoriteit.
Ondernemingen of organisaties die minder dan 250 personen in dienst hebben, zijn vrijgesteld van deze verplichting.
👉 Als je echter minder dan 250 personen in dienst hebt, maar aan een van de volgende voorwaarden voldoet, moet je wel aan deze verplichting van de AVG voldoen:
Een gebied is een groep homogene verwerkingsactiviteiten. Voorbeelden van gebieden zijn je website, je mobiele app, je fysieke winkels, je medewerkers, je wervingsactiviteiten, je productie enz. Voor elk gebied kun je een beschrijving geven van de manier waarop gegevens worden verwerkt, net zoals je dat waarschijnlijk al doet met de privacybeleid- of de algemene voorwaarden-generator voor een bepaalde site. Kortom, gebieden zijn replicaties van de “site”-entiteit die met elkaar verbonden zijn, en die je zelf naar eigen inzicht kunt maken.
Je kunt op accountniveau leden toevoegen, die vervolgens worden gekoppeld aan een bepaalde rol (zoals “verwerkingsverantwoordelijke”, “verwerker”, enz.) of aan een specifiek gebied.
Bij het koppelen kun je kiezen welke rol het lid heeft binnen de volgende opties:
Bijvoorbeeld, een internetbedrijf kan gebruikersinformatie verzamelen via hun website en deze opslaan met behulp van een clouddienst van een derde. In dit scenario is het internetbedrijf de verwerkingsverantwoordelijke en de organisatie die de clouddienst exploiteert de gegevensverwerker.
Je kunt het zien als een adresboek. Alle huidige eigenaars zijn ook lid.
Let op: De standaardwaarden die je in het ledengebied zet, worden dan standaard toegepast op elke dienst.
De volgende leden zijn standaard beschikbaar:
Je privacybeleid moet worden aangepast aan de gegevensverzamelingspraktijken van je site of app. Dat doe je door een dienst toe te voegen.
Diensten vallen in het algemeen in twee categorieën uiteen:
Stel jezelf de volgende vragen om te weten te komen welke basisdiensten je aan je beleid moet toevoegen:
In het volgende onderdeel vertellen we meer over de nieuwe velden die we hebben ingevoerd om je het creëren van je register van de gegevensverwerkingsactiviteiten te vergemakkelijken (je kunt deze velden vinden in het aanpassingsvenster dat verschijnt bij het toevoegen van een dienst). Dit doen we stap voor stap om je te helpen de juiste optie voor jouw situatie te kiezen.
Deze twee velden zijn handig om de gegeven dienst te kunnen beschrijven. Een voorbeeld van een label zou kunnen zijn “datacentrum DE” en de bijbehorende beschrijving zou kunnen zijn “datacentrum Frankfurt”.
Dit is een veld dat alleen van toepassing is op sommige diensten waar je kunt aangeven of je gegevens in de EU bewaart. Een goed voorbeeld hiervan is “Amazon Web services” (vaak afgekort als “AWS”).
Een veld dat slechts enkele diensten hebben, waarmee je het type persoonsgegevens kunt specificeren dat via die dienst wordt verzameld.
Overeenkomstig de AVG mogen gegevens alleen worden verwerkt als daar ten minste één rechtsgrond voor is.
De rechtsgronden zijn:
In onze tool kun je uit de volgende opties kiezen:
Dit geldt alleen wanneer je gegevens naar buiten de EU doorgeeft, dus kies dienovereenkomstig.
Je kunt kiezen tussen de volgende opties:
Verwerkingsverantwoordelijke
Dit is elke natuurlijke of rechtspersoon die betrokken is bij de bepaling van het doel en de wijze van verwerking van de persoonsgegevens.
Verwerker
Dit is elke natuurlijke of rechtspersoon die betrokken is bij de verwerking van persoonsgegevens namens de verwerkingsverantwoordelijke.
Leden van de organisatie van de verwerkingsverantwoordelijke
Een veel voorkomend voorbeeld hiervan zijn de werknemers van een bepaald bedrijf/organisatie.
Betrokkenen
Betrokkenen zijn bijvoorbeeld de gebruikers van een website of app, bezoekers van een fysieke winkel of betalende klanten.
Onder normale omstandigheden moeten voor zaken die “toestemming” als rechtsgrond voor verwerking hebben, alle rechten worden geselecteerd. Onze oplossing biedt je de volgende mogelijkheden:
Dit veld geeft aan hoe lang gegevens worden bewaard. De standaardoptie is “Het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken” en is in de meeste gevallen van toepassing. Anders kun je kiezen uit een periode van 1 tot 5 jaar.
Veel voorkomende voorbeelden zijn de gebruikte versleutelingsmethode of kwetsbaarheidsbeoordelingen/penetratietests, wat betekent dat je technische systemen periodiek moeten worden getoetst om de veiligheid en veerkracht van je systemen te beoordelen.
Een andere belangrijke maatregel is de zogenaamde “back-up en opslag van back-upmedia”, wat betekent dat het raadzaam is de back-upmedia te bewaren op een specifieke locatie die alleen toegankelijk is voor het verantwoordelijke personeel. De veiligheid van die locatie moet ten minste jaarlijks worden geverifieerd.
We raden je ook aan een firewall te installeren en te onderhouden. Het is ook raadzaam de huidige configuraties door te nemen, de machtigingen voor systeemgebruikers te beheren, te controleren of het systeem up-to-date is en ten slotte over te gaan tot de installatie op draagbare apparaten. Een firewall is uiteraard niets nieuws in verband met de AVG en moet worden beschouwd als een minimale beveiligingsmaatregel waarin de huidige normen reeds voorzien.
Vanuit de tool kun je kiezen uit de volgende opties:
Om de verwerking grondig te beschrijven, zoals vereist door de AVG, moet je je gegevensverzamelingspraktijken gedetailleerd beschrijven. Een veel voorkomend geval is een website met meerdere contactformulieren, waarbij elk formulier op verschillende personen is gericht of waarvan de gegevens met verschillende partijen worden gedeeld. Een ander voorbeeld is het versturen van twee verschillende nieuwsbrieven voor verschillende gebruikersgroepen of klanten.
Met onze tool voor het register van de gegevensverwerkingsactiviteiten kun je daarom verschillende versies van dezelfde dienst toevoegen.
Hier vind je een reeks specifieke voorbeelden als illustratie voor de bovenstaande informatie, waaronder ook de “alternatieve opties”:
Example BV voegt een websitegebied toe en configureert het privacybeleid, het cookiebeleid, de cookie-oplossing en de servicevoorwaarden.
Voor het privacybeleid wordt het volgende gedaan:
leden: Hier stel je de algemene leden in voor elke rol die geldt in het hele gebied. Leden kunnen ook per dienst worden gespecificeerd.
verwerkingsverantwoordelijke: Example BV (de eigenaar)
leden van de organisatie van de verwerkingsverantwoordelijke: werknemers
verwerkers:
betrokkenen: gebruikers van de website
naam: Example BV
label: Datacentrum DE
beschrijving: Datacentrum Frankfurt
regio: EU
rechtsgrond voor verwerking: overeenkomst
leden die de persoonsgegevens verwerken: eigenaar, werknemers (die zijn ingesteld op het niveau van de website)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: geen (dienstverlening zou onmogelijk zijn bij bezwaar tegen verwerking van Example BV)
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen
label: Datacentrum NL
beschrijving: Datacentrum Amsterdam
regio: EU
rechtsgrond voor verwerking: overeenkomst
leden die de persoonsgegevens verwerken: eigenaar, werknemers (die zijn ingesteld op het niveau van de website)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: geen (dienstverlening zou onmogelijk zijn bij bezwaar tegen verwerking van Example BV)
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen
(Als je geen Google Analytics voor je website of app gebruikt, kun je hier een andere analysetool invoegen)
naam: Google Analytics
label: Google Analytics
beschrijving: Google Analytics trackingtool
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers (van het betreffende bedrijf)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: toestemming
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
naam: mailinglijst en nieuwsbrief
label: hoofdnieuwsbrief (je kunt immers meer dan één nieuwsbrief of mailinglijst hebben)
beschrijving: mailinglijst hoofdnieuwsbrief
aangepaste persoonsgegevens: e-mailadres
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers (van het betreffende bedrijf)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
label: hoofddrip (met betrekking tot drip-campagnes en niet de standaard nieuwsbrief)
beschrijving: drip-campagnes
aangepaste persoonsgegevens: e-mailadres
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen
label: secundaire productnieuwsbrief
beschrijving: “”
aangepaste persoonsgegevens: e-mailadres
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen
label: secundaire productdrip
beschrijving: “”
aangepaste persoonsgegevens:e-mailadres
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen
label: Nieuwsbrief affiliates
beschrijving: Nieuwsbrief voor affiliates
aangepaste persoonsgegevens: e-mailadres
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers, bureau x (beheerder van de affiliate-campagnes)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen
naam: referral candy
label: hoofdaccount Referral Candy
beschrijving: “”
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers, bureau x (beheerder van de affiliate-campagnes)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: toestemming
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen
label: Account Referral Candy voor secundair product
beschrijving: “”
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers, bureau x (beheerder van de affiliate-campagnes)
betrokkenen: gebruikers van de website
rechtsgrond voor doorgifte van persoonsgegevens: toestemming
beschikbare rechten: informatie, inzage, rectificatie, wissing, beperking van de verwerking, overdraagbaarheid van gegevens, bezwaar
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen
De gebruiker voegt een aangepast gebied toe en noemt het “werknemers”, om de persoonsgegevens te beschrijven die van werknemers worden verwerkt en de doelen hiervan.
leden:
verwerkingsverantwoordelijke: Example BV (de eigenaar)
leden van de organisatie van de verwerkingsverantwoordelijke: HR-afdeling
verwerkers: X, Y
betrokkenen: werknemers, adviseurs
name: opstellen loonlijst
rechtsgrond voor de verwerking: wettelijke verplichting
leden die de persoonsgegevens verwerken: eigenaar, werknemers, HR-afdeling, X, Y
betrokkenen: werknemers, adviseurs
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: geen
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen
naam: “Timely” (tijdregistratiesoftware werknemers)
rechtsgrond voor verwerking: overeenkomst
leden die de persoonsgegevens verwerken: eigenaar, werknemers, HR-afdeling, X, Y
betrokkenen: werknemers, adviseurs
rechtsgrond voor doorgifte van persoonsgegevens: toestemming
beschikbare rechten: geen
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen
De gebruiker voegt een aangepast gebied toe en noemt het “sollicitatiegesprekken”, om de persoonsgegevens te beschrijven die van sollicitanten worden verwerkt en de doelen hiervan.
leden:
verwerkingsverantwoordelijke: Example BV (de eigenaar)
leden van de organisatie van de verwerkingsverantwoordelijke: werknemers, HR-afdeling
verwerkers:
betrokkenen: sollicitanten
naam: beoordeling van sollicitanten
rechtsgrond voor de verwerking: toestemming
leden die de persoonsgegevens verwerken: eigenaar, werknemers, HR-afdeling
betrokkenen: sollicitanten
rechtsgrond voor doorgifte van persoonsgegevens: geen doorgifte
beschikbare rechten: geen
bewaarbeleid: het bewaren van de gegevens, voor de tijd die nodig is om het doel te bereiken (standaardoptie)
beveiligingsmaatregelen: nog te bepalen