GDPR data register template

De GDPR legt meer nadruk op de documentatie- en verantwoordingsplicht die geldt bij het verwerken van persoonsgegevens. Eén van de belangrijkste speerpunten daarin is het op te stellen data register (art. 30 GDPR). Er zijn op dit moment geen ‘officiële’ modellen of vormvereisten voor het data register, en we krijgen dan ook vaak de vraag van klanten “Hoe moet dat data register er nu concreet uit zien?”.

Je kunt ondertussen al vele tools vinden, vaak in een SaaS variant, die een antwoord bieden op die vraag maar de meeste van die tools zijn toch vooral bedoeld voor grotere organisaties met complexe verwerkingsactiviteiten die ook effectief een tool nodig hebben om al die informatie beheersbaar te houden.

Er is echter ook een groot segment aan organisaties waar een dergelijke tool overkill is (niet in het minst uit budgetair oogpunt), denk bijvoorbeeld aan KMO’s, de eerstelijns zorgsector, of VZWs. Om hierin te voorzien deelt White Wire graag 2 templates (een versie Word en een versie Excel) die zijn opgesteld en die gebruikt kunnen worden als data register: beiden bevatten de wettelijke verplichtingen uit de GDPR met een paar kleine toevoegingen die nuttig leken.

Hopelijk helpen ze een aantal organisaties vooruit en bieden ze een antwoord op die eerste vraag: “Hoe ziet zo’n dataregister er dan uit?”. Niet lang daarna zal echter een tweede vraag opdoemen: “Nu weet ik hoe het er uit ziet, maar hoe definieer ik nu juist een verwerkingsactiviteit?”. Een zeer terechte vraag, maar één die vaak organisatie-, of toch zeker sector-, specifiek is en die White Wire graag helpt beantwoorden.

Link naar template pagina

Voorbeeld: een retail organisatie heeft als hoofdactiviteit goederen verkopen en verwerkt hiervoor persoonsgegevens. Een mogelijke verwerkingsactiviteit is dan “Klanten- en orderbeheer”. Voor die activiteit worden 2 soorten gegevens verzameld: de gegevens die noodzakelijk zijn voor de levering van een goed (naam, adres, …) en gegevens over de aankopen en voorkeuren (b.v. profiling via de website of op basis van aankoopgedrag). De wettelijke basissen zijn dan voor de eerste set gegevens “noodzakelijk voor de uitvoering van een overeenkomst met betrokkene” en de tweede set “na het verkrijgen van toestemming van betrokkene.”