Je dossier is je register
Het verwerkingsregister is een van de belangrijkste documenten onder de GDPR (in het Nederlands ook wel AVG genoemd). De toezichthouder kan het op elk moment opvragen en je hebt het nodig om te laten zien dat je weet welke persoonsgegevens je verwerkt en waarom.
Het probleem? De meeste ondernemers weten niet waar ze moeten beginnen. Welke verwerkingen heb ik? Welke gegevens horen daarbij? Wat zijn de juiste grondslagen?
GDPRWise pakt het anders aan. In plaats van je te vragen om een register vanuit het niets op te bouwen, beheer je je GDPR-dossier - klantprocessen, personeelsprocessen en derde partijen - en GDPRWise stelt het register samen vanuit die gegevens. Het register is een output van je dossier, geen apart traject.
Waar de gegevens vandaan komen
Je verwerkingsregister put uit drie bronnen binnen GDPRWise:
Klantdossier. Elk bedrijfsproces dat je documenteert en dat klantgegevens raakt, wordt een regel in je register. Je CRM, e-mailmarketing, orderverwerking, contactformulieren, websiteanalytics - elk is een verwerkingsactiviteit met zijn doel, rechtsgrondslag en gegevenscategorieen.
Personeelsdossier. Salarisadministratie, personeelsbeheer, ziekteverzuim, beoordelingsgesprekken, toegangsbeheer - dit zijn ook verwerkingsactiviteiten die in je register thuishoren. Veel bedrijven vergeten dit deel helemaal.
Derde-partijendossier. Elke externe dienst die namens jou persoonsgegevens verwerkt, wordt vastgelegd als ontvanger bij de betreffende verwerkingsactiviteiten. Je hostingprovider, e-mailtool, CRM-platform, boekhouder - ze verschijnen allemaal in het register als ontvangers van gegevens.
De websitescan draagt bij door derde partijen, cookies en trackers te detecteren die met je site verbonden zijn. Maar de scan is een startpunt, niet het hele plaatje. De echte volledigheid komt van het beheren van je dossiers.
Wat het register bevat
Elke verwerkingsactiviteit in je gegenereerde register bevat de verplichte velden uit Artikel 30:
- Doel - waarom verwerk je deze gegevens? (bijv. “het versturen van nieuwsbrieven”)
- Rechtsgrondslag - op welke wettelijke basis mag je dit doen? (bijv. toestemming, gerechtvaardigd belang, overeenkomst)
- Categorieen persoonsgegevens - welke gegevens verwerk je? (bijv. e-mailadres, naam, IP-adres)
- Categorieen betrokkenen - van wie zijn de gegevens? (bijv. klanten, websitebezoekers, medewerkers)
- Ontvangers - met wie deel je de gegevens? (bijv. Mailchimp, Google Analytics)
- Bewaartermijn - hoe lang bewaar je de gegevens?
- Beveiligingsmaatregelen - hoe bescherm je de gegevens?
Dit wordt allemaal overgenomen uit wat je al in je dossiers hebt gedocumenteerd. Geen dubbele gegevensinvoer.
Genereren en exporteren
Wanneer je klaar bent, ga je naar het GDPR-documentenscherm en genereer je je verwerkingsregister. De export is een professioneel opgemaakt PDF-document dat je direct kunt voorleggen aan de toezichthouder, een auditor of delen met je boekhouder.
De PDF weerspiegelt altijd de huidige stand van je dossiers. Pas een proces aan, voeg een derde partij toe of wijzig een bewaartermijn in je dossier, genereer opnieuw - en je register is actueel.
Houd het actueel
Je verwerkingsregister is alleen waardevol als het de werkelijkheid weerspiegelt. Als je bedrijf verandert - nieuwe tools, nieuwe processen, nieuwe personeelsactiviteiten - werk je je dossiers bij in GDPRWise en genereer je het register opnieuw. Omdat het register wordt samengesteld vanuit je dossiers, is het actueel houden geen aparte taak. Het is een natuurlijk resultaat van het bijhouden van je dossier.
Beheer je klant-, personeel- en derde-partijgegevens in GDPRWise en genereer vervolgens je verwerkingsregister als kant-en-klare export.