GDPR Artikel 30 vereist dat organisaties adequate registers (hoofdzakelijk schriftelijke verslagen) bijhouden van alle verwerkingsgerelateerde activiteiten.
Deze verplichting vertegenwoordigt de uitdrukking van verschillende beginselen voor gegevensverwerking:
Registratie van verwerkingsactiviteiten
- Elke verwerkingsverantwoordelijke en, indien van toepassing, de vertegenwoordiger van de verwerkingsverantwoordelijke, houdt een register bij van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Dat dossier bevat alle volgende informatie:
- De naam en contactgegevens van de verwerkingsverantwoordelijke en, indien van toepassing, de gezamenlijke verwerkingsverantwoordelijke, de vertegenwoordiger van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming.
- De doeleinden van de verwerking.
- Een beschrijving van de categorieën betrokkenen en van de categorieën persoonsgegevens.
- De categorieën ontvangers aan wie de persoonsgegevens zijn of zullen worden bekendgemaakt, inclusief ontvangers in derde landen of internationale organisaties.
- Indien van toepassing, de overdracht van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de identificatie van dat derde land of die internationale organisatie en, in het geval van de overdracht bedoeld in artikel 49, lid 1, tweede alinea, de documentatie van geschikte waarborgen.
- Waar mogelijk, de beoogde termijnen voor het wissen van de verschillende categorieën gegevens.
- Waar mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 32, eerste lid.
- Elke verwerker en, indien van toepassing, de vertegenwoordiger van de verwerker houdt een register bij van alle categorieën verwerkingsactiviteiten die namens een verwerkingsverantwoordelijke worden uitgevoerd, met daarin:
- De naam en contactgegevens van de verwerker(s) en van elke verwerkingsverantwoordelijke namens wie de verwerker handelt, en, indien van toepassing, van de verwerkingsverantwoordelijke of de vertegenwoordiger van de verwerker, en de functionaris voor gegevensbescherming.
- De categorieën van verwerkingen die namens elke verwerkingsverantwoordelijke worden uitgevoerd.
- Indien van toepassing, de overdracht van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de identificatie van dat derde land of die internationale organisatie en, in het geval van de overdracht bedoeld in artikel 49, lid 1, tweede alinea, de documentatie van geschikte waarborgen.
- Waar mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 32, eerste lid.
- De in de leden 1 en 2 bedoelde vastleggingen zijn schriftelijk, ook in elektronische vorm.
- De verwerkingsverantwoordelijke of de verwerker en, indien van toepassing, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker, stellen het dossier op verzoek ter beschikking van de toezichthoudende autoriteit.
- De verplichtingen bedoeld in de leden 1 en 2 zijn niet van toepassing op een onderneming of organisatie met minder dan 250 personen, tenzij de verwerking die zij uitvoert waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkenen en de verwerking niet incidenteel is , of de verwerking omvat bijzondere categorieën gegevens als bedoeld in artikel 9, lid 1, of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.
Boek een chat van 30 minuten met ons en wij laten u zien hoe
Registratie van verwerkingsactiviteiten
- Elke verwerkingsverantwoordelijke en, indien van toepassing, de vertegenwoordiger van de verwerkingsverantwoordelijke, houdt een register bij van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden. Dat dossier bevat alle volgende informatie:
- De naam en contactgegevens van de verwerkingsverantwoordelijke en, indien van toepassing, de gezamenlijke verwerkingsverantwoordelijke, de vertegenwoordiger van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming.
- De doeleinden van de verwerking.
- Een beschrijving van de categorieën betrokkenen en van de categorieën persoonsgegevens.
- De categorieën ontvangers aan wie de persoonsgegevens zijn of zullen worden bekendgemaakt, inclusief ontvangers in derde landen of internationale organisaties.
- Indien van toepassing, de overdracht van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de identificatie van dat derde land of die internationale organisatie en, in het geval van de overdracht bedoeld in artikel 49, lid 1, tweede alinea, de documentatie van geschikte waarborgen.
- Waar mogelijk, de beoogde termijnen voor het wissen van de verschillende categorieën gegevens.
- Waar mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen, bedoeld in artikel 32, eerste lid, of, in voorkomend geval, de beveiligingsmaatregelen, bedoeld in artikel 1, derde lid, van de Wet 28.
- Elke verwerker en, indien van toepassing, de vertegenwoordiger van de verwerker houdt een register bij van alle categorieën verwerkingsactiviteiten die namens een verwerkingsverantwoordelijke worden uitgevoerd, met daarin:
- De naam en contactgegevens van de verwerker(s) en van elke verwerkingsverantwoordelijke namens wie de verwerker handelt, en, indien van toepassing, van de verwerkingsverantwoordelijke of de vertegenwoordiger van de verwerker, en de functionaris voor gegevensbescherming.
- De categorieën van verwerkingen die namens elke verwerkingsverantwoordelijke worden uitgevoerd.
- Indien van toepassing, de overdracht van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de identificatie van dat derde land of die internationale organisatie en, in het geval van de overdracht bedoeld in artikel 49, lid 1, tweede alinea, de documentatie van geschikte waarborgen.
- Waar mogelijk een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 32, eerste lid. Of, in voorkomend geval, de veiligheidsmaatregelen bedoeld in artikel 1, lid 28, van de wet van 3.
- De in de leden 1 en 2 bedoelde vastleggingen zijn schriftelijk, ook in elektronische vorm.
- De verwerkingsverantwoordelijke of de verwerker en, indien van toepassing, de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker, stellen het dossier op verzoek ter beschikking van de commissaris.
- De verplichtingen bedoeld in de leden 1 en 2 zijn niet van toepassing op een onderneming of organisatie met minder dan 250 personen, tenzij de verwerking die zij uitvoert waarschijnlijk een risico inhoudt voor de rechten en vrijheden van de betrokkenen en de verwerking niet incidenteel is , of de verwerking omvat bijzondere categorieën gegevens als bedoeld in artikel 9, lid 1, of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.
AVG-artikel 30 behandelt vier belangrijke gebieden van het bijhouden van documenten:
Artikel 30 schetst ook uitzonderingen die op elk van de bovengenoemde gebieden worden toegepast – met name daarop elke organisatie met minder dan 250 medewerkers is niet verplicht om verwerkingsgegevens bij te houden, behalve wanneer de rechten en vrijheden van betrokkenen ‘niet incidenteel’ zijn, of de organisatie ‘bijzondere categorieën’ gegevens of strafrechtelijke gegevens verwerkt.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
Bij het aanpakken van de beveiliging binnen leveranciersrelaties moeten organisaties ervoor zorgen dat beide partijen zich bewust zijn van hun verplichtingen op het gebied van privacy-informatiebeveiliging, en van elkaar.
Daarbij moeten organisaties:
Organisaties moeten ook een register van overeenkomsten, waarin alle overeenkomsten met andere organisaties zijn opgenomen.
Organisaties moeten voldoen aan wettelijke, statutaire, regelgevende en contractuele vereisten wanneer:
Organisaties moeten procedures volgen die dit mogelijk maken identificeren, analyseren en begrijpen wet- en regelgevingsverplichtingen – vooral die welke te maken hebben met privacybescherming en PII – waar ze ook actief zijn.
Organisaties moeten zich voortdurend bewust zijn van hun verplichtingen op het gebied van privacybescherming wanneer ze nieuwe overeenkomsten aangaan met derde partijen, leveranciers en opdrachtnemers.
Bij het inzetten van encryptiemethoden om de privacybescherming te versterken en PII te beschermen, moeten organisaties:
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
In deze sectie praten we over AVG-artikelen 30 (1)(a), 30 (1)(b), 30 (1)(c), 30 (1)(d), 30 (1)(f), 30 ( 1)(g), 30 (3), 30 (4) en 30 (5)
Organisaties moeten een grondige set documenten bijhouden die hun acties en verplichtingen als PII-verwerker ondersteunen.
Records (ook wel 'inventarislijsten' genoemd) moeten een gedelegeerde eigenaar hebben en kunnen het volgende omvatten:
Van tijd tot tijd kan de noodzaak ontstaan om PII tussen twee verschillende rechtsgebieden over te dragen. Wanneer dit gebeurt, moeten organisaties de noodzaak daartoe rechtvaardigen en documenteren.
Regionale regelgevende en wettelijke regels variëren afhankelijk van waar de gegevens vandaan komen en waar deze naartoe worden overgedragen.
Organisaties moeten rekening houden met alle relevante wetten, kaders en regelgeving wanneer zij gegevens tussen rechtsgebieden moeten overdragen, inclusief het gebruik van een aangewezen toezichthoudende autoriteit.
Organisaties moeten een gedocumenteerde lijst bijhouden van de landen en organisaties waaraan zij onder redelijke omstandigheden mogelijk hun PII kunnen overdragen.
Zodra ze een lijst hebben opgesteld, moeten organisaties de informatie beschikbaar stellen aan hun klanten, inclusief eventuele uitbestede PII-bewerkingen (zie ISO 27701 clausule 7.5.1).
In bepaalde omstandigheden – vooral in het geval van strafrechtelijk onderzoek – kunnen vertrouwelijkheidswetten voorkomen dat de organisatie vooraf de identiteit van landen en organisaties van bestemming bekendmaakt (zie ISO 27701-clausules 8.5.4 en 8.5.5).
Het is van cruciaal belang dat organisaties de overdracht van PII naar externe organisaties nauwkeurig bijhouden.
Organisaties moeten PII kunnen vastleggen die op enigerlei wijze is gewijzigd (in overeenstemming met de verplichtingen en doelstellingen van de verwerkingsverantwoordelijke), of overdrachten die vereist zijn voordat een verzoek van de PII-opdrachtgever wordt ingewilligd om de PII te wijzigen of te wissen.
Documenten moeten onderworpen zijn aan een proportionele bewaartermijn, en moeten onderworpen zijn aan regels voor gegevensminimalisatie die alleen datgene retourneren wat nodig is om een specifiek doel te bereiken.
Organisaties moeten elke openbaarmaking van PII aan derden registreren, inclusief de volgende drie soorten informatie:
Het is de standaardpraktijk om PII om verschillende redenen vrij te geven tijdens de informatieverwerking van een organisatie.
Er moeten logbestanden worden gemaakt van openbaarmakingen die plaatsvinden tijdens normale bedrijfspraktijken en van alle bijzondere omstandigheden die zich voordoen (dat wil zeggen regelgevende of juridische onderzoeken).
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
In deze sectie praten we over AVG-artikelen 30 (2)(a), 30 (2)(b), 30 (3), 30 (4) en 30 (5)
Organisaties moeten nauwkeurige en actuele gegevens bijhouden waarmee ze op elk moment kunnen aantonen dat ze voldoen aan contractuele verplichtingen met betrekking tot de verwerking van PII.
Afhankelijk van het rechtsgebied moeten de documenten mogelijk het volgende bevatten:
Organisaties moeten concrete plannen hebben die bepalen hoe PII kan zijn teruggekeerd, overgedragen or geneigd van, en al deze polissen beschikbaar stellen aan de klant.
Er zijn verschillende scenario's waarbij PII moet worden verwijderd, waaronder (maar niet beperkt tot):
Organisaties moeten categorische garanties bieden dat alle PII die niet langer nodig is, zal worden vernietigd in overeenstemming met de geldende wetgeving of regionale richtlijnen.
Alle verwijderingsbeleidsregels moeten op verzoek beschikbaar zijn voor de klant en moeten betrekking hebben op de periode die organisaties hebben om PII te vernietigen zodra een contract is beëindigd.
Organisaties moeten een nauwkeurige, actuele lijst bijhouden van alle landen of organisaties waar PII mogelijk naartoe kan worden overgedragen.
Klanten moeten op elk gewenst moment een lijst met potentiële ontvangende landen en organisaties kunnen bekijken, inclusief een logboek van alle landen die betrokken zijn bij de uitbesteding van PII (zie ISO 27701-clausule 8.5.1).
Onder bepaalde omstandigheden zullen organisaties niet altijd vooraf bekend kunnen maken waar overdrachtsverzoeken vandaan komen, vooral als het gaat om strafzaken. Dit is onvermijdelijk en het zou de prioriteit van de organisatie moeten zijn om de integriteit van een wetshandhavingsoperatie te handhaven (zie ISO 27701 clausules 7.5.1, 8.5.4 en 8.5.5).
Organisaties moeten alle gevallen waarin zij PII moeten vrijgeven aan een derde partij nauwgezet registreren.
Telkens wanneer PII wordt bekendgemaakt – hetzij als onderdeel van standaard bedrijfsroutines of in bijzondere omstandigheden, zoals een doorlopend juridisch of regelgevend proces – moeten organisaties vastleggen wat er is bekendgemaakt, de ontvanger en de onderliggende reden daarvoor.
AVG-artikel | ISO 27701-clausule | ISO 27002-controles |
---|---|---|
EU AVG Artikel 30 (2)(d) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU AVG Artikel 30 (2)(d) | 6.15.1.1 | 5.20 |
EU AVG Artikelen 30 (1)(a) tot 30 (5) | 7.2.8 | Geen |
EU AVG Artikel 30, lid 1, onder e) | 7.5.1 | Geen |
EU AVG Artikel 30, lid 1, onder e) | 7.5.2 7.5.1 8.5.4 8.5.5 | Geen |
EU AVG Artikel 30, lid 1, onder e) | 7.5.3 | Geen |
EU AVG Artikel 30 (1)(d) | 7.5.4 | Geen |
EU AVG Artikelen 30 (2)(a) tot 30 (5) | 8.2.6 | Geen |
EU AVG Artikel 30 (1)(f) | 8.4.2 | Geen |
EU AVG Artikel 30, lid 2, onder c) | 8.5.2 7.5.1 8.5.1 8.5.4 8.5.5 | Geen |
EU AVG Artikel 30 (1)(d) | 8.5.3 | Geen |
ISMS.online helpt u een beschermingsniveau aan te tonen dat verder gaat dan 'redelijk' op een veilige, altijd beschikbare locatie.
Wij maken data mapping tot een eenvoudige taak. Door de gegevens van uw organisatie toe te voegen aan onze vooraf geconfigureerde dynamische tool voor het registreren van verwerkingsactiviteiten, kunt u alles eenvoudig vastleggen en bekijken.
Als het ergste gebeurt, ben je er klaar voor.
Met onze tools kunt u elke inbreuk plannen, communiceren, documenteren en ervan leren.
Meer informatie via het boeken van een demo van 30 minuten.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Vraag een offerte aan