Wat is een toepassingsregister?
Een toepassingsregister is een overzicht van alle systemen, software en tools die persoonsgegevens verwerken in je organisatie. Van je CRM en boekhoudpakket tot je e-mailtool en cloudopslag.
Het verschil met je verwerkingsregister: het verwerkingsregister beschrijft de activiteiten (wat je doet met gegevens en waarom). Het toepassingsregister beschrijft de middelen (welke systemen je daarvoor gebruikt). Samen vormen ze een compleet beeld.
De GDPR (ook wel AVG genoemd) schrijft niet letterlijk een toepassingsregister voor, maar het is in de praktijk onmisbaar.
Waarom heb je er een nodig?
1. Het ondersteunt je verwerkingsregister
Je verwerkingsregister moet per verwerking vermelden welke systemen erbij betrokken zijn. Zonder toepassingsregister ben je bij elke update aan het raden welke tools je ook alweer gebruikt.
2. Het helpt bij datalekken
Bij een datalek moet je snel vaststellen welke systemen getroffen zijn en welke gegevens erin staan. Je hebt 72 uur om te melden bij de toezichthouder; dan wil je niet eerst gaan uitzoeken welke systemen je allemaal hebt.
3. Het maakt verwerkersovereenkomsten beheersbaar
Voor elke leverancier die namens jou persoonsgegevens verwerkt, heb je een verwerkersovereenkomst (DPA) nodig. Je toepassingsregister laat in een oogopslag zien waar je al een overeenkomst hebt en waar die nog ontbreekt.
Wat documenteer je per systeem?
Houd per systeem het volgende bij:
| Veld | Beschrijving | Voorbeeld |
|---|---|---|
| Naam | Naam van het systeem of de tool | HubSpot CRM |
| Leverancier | Bedrijfsnaam van de leverancier | HubSpot Inc. |
| Categorie | Type systeem | CRM |
| Type persoonsgegevens | Welke gegevens worden verwerkt | Naam, e-mail, telefoonnummer, interactiegeschiedenis |
| Betrokkenen | Van wie zijn de gegevens | Klanten, leads |
| Locatie gegevensopslag | Waar staan de gegevens | EU (Frankfurt) |
| Verwerkersovereenkomst | Is er een DPA afgesloten | Ja, getekend op 15-03-2024 |
| Verantwoordelijke intern | Wie beheert dit systeem | Marketing team |
Voorbeelden uit de praktijk
Een voorbeeld voor een klein bedrijf:
| Systeem | Leverancier | Type gegevens | Locatie | DPA |
|---|---|---|---|---|
| Google Workspace | Google LLC | E-mail, documenten, agenda | EU | Ja |
| Exact Online | Exact | Facturen, klantgegevens, bankgegevens | NL | Ja |
| Mailchimp | Intuit Inc. | E-mail, naam, gedragsdata | VS (SCC) | Ja |
| Teamleader | Teamleader NV | Klantgegevens, offertes, facturen | BE | Ja |
| WordPress + WooCommerce | Zelf gehost | Klantgegevens, bestellingen | NL (eigen hosting) | N.v.t. |
| Slack | Salesforce | Berichten, bestanden | VS (SCC) | Nee - actie nodig |
Bij “Slack” zie je direct dat er nog een verwerkersovereenkomst ontbreekt. Dat is precies het nut van het register.
Hoe begin je?
- Inventariseer alle systemen. Loop alle afdelingen langs en vraag welke tools ze gebruiken. Vergeet mobiele apps en gratis tools niet
- Controleer de facturen. Je boekhouding laat zien voor welke software je betaalt
- Scan je website. GDPRWise detecteert automatisch welke externe diensten je website gebruikt
- Documenteer per systeem. Vul de tabel in met de velden hierboven
- Controleer de verwerkersovereenkomsten. Ga per systeem na of je een DPA hebt
Actueel houden
Controleer minstens twee keer per jaar of je register nog klopt. Maak het een gewoonte om elk nieuw systeem direct toe te voegen en de verwerkersovereenkomst te controleren.
Scan je website en GDPRWise brengt automatisch in kaart welke externe diensten en tools persoonsgegevens verwerken. Je toepassingsregister is het startpunt.