Waken over de veiligheid, integriteit, vertrouwelijkheid, … van de persoonsgegevens die u als verwerkingsverantwoordelijke verwerkt vereist duidelijk uitvoerbare procedures en processen.
Als verwerkingsverantwoordelijke moet u immers kunnen aantonen dat de nodige technische en organisatorische maatregelen werden genomen om te voldoen aan de GDPR verordening.
M.a.w. u heeft bovenop uw bestaande procedures en processen nog eens de administratie, documentatie en het beheer van deze procedures en processen.
Certificaten van gekende organisaties zoals ISO kunnen een vermoeden scheppen dat u als verwerkingsverantwoordelijke voldoet aan deze voorwaarden.
Incorporatie in bestaande procedures en processen
Iedere procedure en ieder proces waarbij persoonsgegevens worden verwerkt moet rekening houden met en maatregelen voorzien die de veiligheid, integriteit, vertrouwelijkheid, etc. garandeert.
Hiertoe behoren niet enkel technische maatregelen voorzien in de software zoals dubbele checks van de ingevoerde gegevens alvorens die gegevens naar de databank worden weggeschreven, het wegschrijven van controle- of auditdata in aparte tabellen van de databank, maar ook de nodige bijkomende procedures wanneer er een incident is waarbij persoonsgegevens zijn betrokken.
Aangifte en registratie van incidenten en datalekken
Ieder proces of procedure waarbij persoonsgegevens worden verwerkt zal een bijkomend onderdeel moeten krijgen, namelijk voor de gevallen waarbij een incident of een datalek moet worden aangegeven of geregistreerd.
De volgende gegevens zijn daarbij o.a. belangrijk om te worden meegegeven voor aangifte en registratie:
- over wie gaat het (dus de betrokkene(n));
- op welk exact tijdstip deed het datalek of incident zich voor;
- waar deed zich het datalek of incident voor;
- welke persoonsgegevens werden er gelekt of maken deel uit van het incident;
- zijn er eventueel reeds maatregelen, en zo ja dewelke, genomen om het datalek of incident te beperken.
Verder moet men ook vooraf weten waar, dus in welke systemen, de registratie en aangifte moet gebeuren, en door wie dit moet worden uitgevoerd.
Gecentraliseerde of gedecentraliseerde aangifte en registratie
Gecentraliseerde aangifte en registratie van incidenten en datalekken heeft een belangrijk voordeel voor organisaties, omdat slechts één bepaalde persoon of dienst deze activiteit uitoefent.
Het nadeel daarentegen is dat deze maatregel meestal niet haalbaar is voor kleine organisaties. Bovendien kunnen er zich ook problemen voordoen indien deze ene persoon afwezig is, bijvoorbeeld wegens ziekte of vakantie.
Grote organisaties daarentegen kunnen er een team voor inzetten, al dan niet rond de DPO, in een zogenaamde DPO-office. Dit verhoogt weliswaar de kostprijs voor deze grote organisaties om in orde te zijn met hun verplichtingen inzake de GDPR.
Een gedecentraliseerde oplossing waarbij de aangifte en registratie van een incident of datalek gelegd wordt bij de persoon die de procedure of proces uitvoert heeft wel enkele voordelen in vergelijking met de gecentraliseerde aangifte en registratie.
Vooreerst is er tijdswinst. Immers de verwerkingsverantwoordelijke heeft 72 uur de tijd om bij een inbreuk met betrekking tot persoonsgegevens aangifte te doen bij de Gegevensbeschermingsautoriteit, tenzij het weinig waarschijnlijk is dat de inbreuk een risico vormt voor de privacy van de betrokkene.
Ten tweede, de eigenaar van het proces of procedure kant het best de omstandigheden waarin het incident (hem of haar werd gerapporteerd door een derde) evenals de procedure en het proces van verwerking zelf.
Het nadeel van de gedecentraliseerde aangifte of registratie is wel dat de eigenaar van de procedure of het proces soms kan vergeten, aangezien het niet zijn/haar kerntaak is, de aangifte of registratie te doen.
Opleiding
Organisaties moeten ook procedures voorzien voor het opleiden en onderhouden van de kennis en de risico’s bij het verwerken van persoonsgegevens bij hun personeel die persoonsgegevens verwerken voorzien.
Bloep, 11 juni 2025.