Veelgestelde vragen

Volgens artikel 30 AVG zijn alle organisaties die structureel persoonsgegevens verwerken verplicht een “register van verwerkingsactiviteiten” bij te houden. In dit register dien je bij te houden welke persoonsgegevens je gebruikt in je organisatie, waarvoor je ze gebruikt, wie er toegang toe heeft, hoe lang je de gegevens bewaart, hoe je de gegevens beveiligd en aan wie je de gegevens doorgeeft. Een AVG register zoals dat van Privacy Insights biedt de mogelijkheid naast de wettelijk verplichte informatie van het register van verwerkingsactiviteiten ook alle andere informatie bij te houden die van belang is voor je verantwoordingsplicht onder de AVG. Denk hierbij aan de verplichting om verwerkersovereenkomsten af te sluiten, datalekken te registreren, privacyverklaringen op te stellen en te communiceren aan betrokkenen en DPIA’s uit te voeren.

Op basis van de verantwoordingsplicht uit de AVG dien je een aantal zaken te registreren. Dit zijn:

• Verwerkingsactiviteiten en alle gegevens die daarmee te maken hebben (artikel 30 AVG)
• Datalekken (artikel 33 AVG)
• DPIA / Gegevensbeschermingseffectsbeoodelingen (Artikel 35 AVG)
• Verwerkersovereenkomsten (artikel 28 AVG)
• Gegevensbeschermingsbeleid (artikel 24 AVG)
• Toestemmingen betrokkene (artikel 7 AVG)

In het Privacy Insights AVG register kun je al deze gegevens kwijt m.u.v. de toestemmingsverklaringen van individuele personen.

In het register van verwerkingsactiviteiten dien je bij te houden welke persoonsgegevens je gebruikt in je organisatie, waarvoor je ze gebruikt, wie er toegang toe heeft, hoe lang je de gegevens bewaart, hoe je de gegevens beveiligd en aan wie je de gegevens doorgeeft. Het privacy Insights AVG register biedt daarnaast de optie om veel andere gegevens over verwerkingsactiviteiten bij te houden die niet wettelijk verplicht zijn maar het wel heel makkelijk maken om aan andere verplichtingen uit de AVG te voldoen. Denk hierbij aan wettelijke grondslagen voor een verwerking, de wijze waarop je mensen informeert over de verwerking, waar de gegevens vandaan komen, de risico critera voor een verwerking, uitgevoerde DPIA’s en in welke informatiesystemen de gegevens zich bevinden.

Nee, je bent verplicht een register bij te houden als je structureel persoonsgegevens verwerkt. Als je echter heel klein bent is het waarschijnlijk niet nodig een abonnement op een professioneel register af te nemen. 

Het moeilijkste van het invullen van het register van verwerkingsactiviteiten is het bepalen waar je begint en welk detailniveau je hanteert. Wij adviseren meestal om te beginnen met het in kaart brengen van je organisatie. Welke afdelingen zijn er en wat doen die afdelingen met persoonsgegevens. Als je alle processen van je organisatie al in beeld hebt kun je ook beginnen op basis van de processen. Daarnaast adviseren we ook een overzicht te maken van alle informatiesystemen waarin persoonsgegevens zijn opgenomen. Als je de in de organisatie gehanteerde processen naast de lijst met informatiesystemen legt dan heb je als het goed is al een aardig beeld van welke gegevensverwerkingen er zijn. Het Privacy Insights AVG register maakt dit een stuk makkelijker door aan te geven welke informatiesystemen met persoonsgegevens nog niet aan een verwerkingsactiviteit/proces gekoppeld zijn. De complexiteit zit in het te hanteren detailniveau. Te veel detail betekent heel veel verwerkingen en veel werk om het up-to-date te houden maar bij te weinig detail zal de informatie niet voor alle in een verwerking aanwezige gegevens kloppen en is het register niet bruikbaar voor risicoanalyses en hulp bij inzageverzoeken en datalekken. De vanaf het Pro abonnement aanwezige standaard datasets gegevens al een aardig beeld van een redelijk detailniveau. De specialisten van Privacy Insights zijn altijd bereid u te helpen met het maken van een plan van aanpak voor het vullen van het register.

Het in gebruik nemen van het register is binnen een paar minuten geregeld. Door de eenvoudige structuur en standaard datasets kun je gelijk aan de slag. Bij het afsluiten van een abonnement krijg je vanaf het Pro abonnement gratis implementatieadvies en begeleiding bij het in gebruik nemen.

Het Privacy Insights AVG register is bedoeld voor alle organisaties die meer dan ongeveer 20 verschillende verwerkingsactiviteiten willen registreren. Over het algemeen zijn dit organisaties vanaf ongeveer 10 werknemers. Ook kleine organisaties die op grote schaal bijzondere persoonsgegevens verwerken waardoor een zorgvuldige en sluitende registratie van groot belang is kunnen veel baat hebben bij het Privacy Insights AVG register. Om het AVG register goed te kunnen onderhouden is het wel van belang dat je een redelijke basis kennis van de AVG en privacy onderwerpen hebt. Heb je dit niet dan kan het verstandig zijn om een privacy specialist in te zetten om het register goed op te zetten en te onderhouden. Twijfel je of je dit zelf kunt doen neem dan contact op met onze adviseurs.

Het Privacy Insights AVG register bevat de volgende modules en functionaliteiten:

• Dashboard met overzicht en status compliance
• Verwerkingen (inclusief verwerkersoveenkomsten)
• Inzicht module voor selecties, analyses en rapportages
• Beheer, voor onderhoud standaard gegevens en categorieën
• Datalekken (vanaf Pro versie)
• DPIA’s (vanaf Pro versie)
• Verzoeken van betrokkenen (vanaf Pro versie)
• Taken (alleen Enterprise versie)
• API voor koppeling met andere systemen (alleen Enterprise versie)

Ja, doorvoor hebben wij de (vanaf het pro abonnement inbegrepen) overstap service. Hiermee kunnen wij de gegevens naadloos importeren in ons AVG register mits je de gegevens uit jouw huidige register over kunt nemen in ons Excel template. Sommige alternatieve AVG pakketten bieden standaard de mogelijkheid naar Excel of CSV formaat exporteren. Weet je niet zeker of dit kan of heb je hierbij assistentie nodig neem dan contact op met één van onze adviseurs.

Het privacy Insights verwerkingenregister wordt geleverd als SaaS applicatie. De applicatie draait op centrale systemen in Nederlandse datacenters en wordt via internet ontsloten. De beveiliging van de applicatie is vanaf het ontwerp integraal onderdeel geweest van de ontwikkeling.  Bij de ontwikkeling, het beheer en het gebruik van de applicatie door klanten worden veel verschillende beveiligingsmaatregelen genomen. Hieronder vind je een opsomming daarvan.

• We gebruiken een standaard framework om veel voorkomende fouten te voorkomen.
• Gevoelige gegevens worden (per klant) versleuteld opgeslagen in de database
• Security review door certified ethical hacker bij nieuwe functies
• Uitgebreid logging en version control systeem

• We gebruiken ISO27001 & NEN7510 gecertificeerd hosting
• Periodiek en bij grote wijzigingen laten we een penetratietest uitvoeren
• Er wordt wekelijks een geautomatiseerde security scan uitgevoerd
• De systemen worden beveiligd op basis van de PCI DSS & OWASP richtlijnen 
• We hebben een A+ Rating SSL Labs
• Alle beschikbare security updates worden z.s.m. geïnstalleerd
• Backend toegang tot systemen is alleen mogelijk vanaf specifieke IP-adressen
• Alle beheerders en resellers kunnen alleen inloggen met 2-factor authenticatie
• Systemen worden 7×24 in de gaten gehouden
• Het hosting platform biedt een 99.9% uptime garantie
• Bij een storing in een datacenter is er een failover naar een tweede datacenter
• Er worden dagelijkse back-ups gemaakt naar separaat datacenter

• Sterke wachtwoorden worden afgedwongen
• Je kunt toegang beperken tot bepaalde IP-adressen
• Je kunt 2-factor authenticatie verplichten
• Je kunt bepaalde items read-only te maken voor gebruikers
• Indien gewenst is er een Escrow overeenkomst af te sluiten