Verwerkingsregister
In het verwerkingsregister houd je bij welke persoonsgegevens worden verwerkt en met wie de gegevens worden gedeeld. Ook als je persoonsgegevens verzamelt voor jouw onderzoek leg je dit vast in het verwerkingsregister.
Verwerkingsregister voor bedrijfsprocessen
De universiteit onderhoudt een centrale administratie van verwerkingen van persoonsgegevens in bedrijfsprocessen. De universiteit moet kunnen aantonen dat ze de technische en organisatorische maatregelen neemt om persoonsgegevens te beschermen. Dat gebeurt in het verwerkingsregister. Daarin wordt o.a. vastgelegd:
- Welke persoonsgegevens worden verwerkt
- Met welk doel deze persoonsgegevens worden verwerkt
- Waar de gegevens vandaan komen
- Met wie de gegevens worden gedeeld
Procedures en templates voor het opstellen van een verwerkingsregister vind je hier.
Verwerkingsregister voor onderzoekers
Begin je een nieuw wetenschappelijk onderzoek dat persoonsgegevens bevat? Dan leg je in het verwerkingsregister onderzoek vast hoe je persoonsgegevens verwerkt. Je kunt het datamanagementplan (DMP) gebruiken om voorgenomen handelingen en afspraken te beschrijven.
Vragen?
Vragen over het verwerkingsregister onderzoek kun je stellen aan jouw privacy officer of het Privacyloket. Voor algemene vragen en advies over het verwerken van persoonsgegevens en het opstellen van een datamanagementplan kun je terecht bij het Centre for Digital Scholarship.
Risicovolle verwerking van persoonsgegevens
In sommige gevallen levert gegevensverwerking een hoog privacyrisico op voor de betrokkenen. Dat is in ieder geval zo als:
- Je op grote schaal gegevens verwerkt
- Je gevoelige persoonsgegevens verwerkt
- De verwerking een hoog risico voor de betrokkenen met zich meebrengt
Om te bepalen of de verwerking een verhoogd risico heeft, is een formulier met 9 vragen ontwikkeld. Vraag jouw privacy officer of het Privacyloket om dit formulier.
Data Protection Impact Assessment (DPIA)
Wanneer er een hoog privacyrisico is, moet je vooraf onderzoek doen naar de (mogelijke) risico’s. Zo’n onderzoek heet een Data Protection Impact Assessment (DPIA), ook wel gegevensbeschermingseffectbeoordeling genoemd. Een DPIA moet schriftelijk worden vastgelegd en in ieder geval de volgende elementen bevatten:
- Een systematische beschrijving van de verwerkingen en hun doelen.
- Een beoordeling van de proportionaliteit van de verwerkingen.
- Een inventarisatie van de risico’s voor betrokkenen.
- Een opsomming van de genomen maatregelen om de geconstateerde risico’s te matigen.
- Wat doet de universiteit met risicovolle verwerkingen?
- Wanneer moet ik iets doen met risicovolle verwerkingen?