AVG: hoe registreer ik mijn verwerkingen van persoonsgegevens?

Algemeen

De Algemene Verordening Gegevensbescherming (AVG, beter bekend als General Data Protection Regulation of GDPR) vereist dat alle verwerkingen van persoonsgegevens aan de UGent gedocumenteerd en geregistreerd worden in een ‘register van verwerkingsactiviteiten’, het AVG Register.

Deze interne registratie vervangt de vroegere ‘aangifteplicht’ bij de Privacycommissie, en is een essentieel hulpmiddel voor de onderzoeker om aan zijn verantwoordingsplicht te voldoen.

Voor verwerkingen van persoonsgegevens in het kader van onderzoeksprojecten wordt deze registratie geïntegreerd in het UGent-beleid rond Research Data Management (RDM). Onderzoekers moeten hun verwerkingsactiviteiten registreren en dienen hiervoor een specifiek Data Management Plan (DMP) op te stellen via de online planning tool DMPonline.be (zie infra).

Wanneer verwerkingsactiviteiten registreren?

Nieuwe verwerkingsactiviteiten

De registratie moet gebeuren voor elke nieuwe verwerkingsactiviteit, d.w.z. aan het begin van elk nieuw onderzoeksproject waarbij persoonsgegevens worden verwerkt (of de fase in het project waarbij persoonsgegevens worden verwerkt), en dit nog vóór de start van de eigenlijke verzameling/verwerking van de gegevens.

Bestaande verwerkingsactiviteiten

Ook bestaande verwerkingsactiviteiten moeten geregistreerd worden. Het gaat hier dus om lopende onderzoeksprojecten, of ze nu gestart zijn voor of na 25/05/2018 (d.i. de datum waarop de AVG in werking is getreden).

Updates

Daarnaast is het belangrijk om de info m.b.t. de geregistreerde verwerkingsactiviteiten up to date te houden gedurende de looptijd van het onderzoeksproject.

Waar en hoe verwerkingsactiviteiten registreren?

Gebruik de templates in de online tool DMPonline.be

DMPonline.be bevat een aantal sjablonen (‘templates’) voor het opstellen van een Data Management Plan (DMP). DMP templates zijn in essentie online invulformulieren met vragen over verschillende aspecten van datamanagement, en kunnen daarbij ook een reeks AVG/GDPR-vragen bevatten. Je kan als UGent-onderzoeker voldoen aan de vereiste interne registratie van verwerkingsactiviteiten door in de tool een DMP aan te maken waarin je deze verplichte AVG/GDPR-vragen invult.

  • wanneer je een nieuw DMP wil aanmaken in de tool, moet je eerst aangeven of je persoonsgegevens zal verwerken. Zo ja, dan worden enkel de  templates aangeboden waarin de AVG/GDPR-vragen zijn opgenomen (templates kunnen gelinkt zijn aan UGent - of een subgroep binnen de universiteit, bv. een faculteit - , of aan externe financiers als FWO, Europese Commissie enz.)

Er zijn twee mogelijke routes om verwerkingsactiviteiten te documenteren en registreren via DMPonline.be:

  1. indien je voor een onderzoeksproject een volwaardig DMP wil of moet opstellen, bijvoorbeeld voor een externe financier, kan je tegelijk ook de verwerkingsactiviteiten registreren door een AVG-compatibele template te gebruiken (d.w.z. een DMP-sjabloon waaraan de verplicht in te vullen AVG/GDPR-vragen zijn toegevoegd omdat je aangeeft persoonsgegevens te zullen verwerken)
  2. indien je geen uitgebreid DMP schrijft, maar louter verwerkingsactiviteiten m.b.t. persoonsgegevens dient te registreren, kan je aan de slag met de specifiek daarvoor bedoelde UGent template ‘GDPR record’. Deze bevat enkel de AVG/GDPR-vragen en is tevens beschikbaar wanneer je aangeeft persoonsgegevens te (zullen) verwerken

Hoe ga je te werk?

Inloggen

Nieuw DMP aanmaken

  • maak een nieuw DMP aan via het ‘Create plan’ menu
  • geef in de ‘Create a new plan’ wizard de correcte titel (verplicht) in van het onderzoeksproject waarvoor je het DMP wil schrijven/de verwerkingsactiviteiten wil registreren, en selecteer de optie ‘I will process personal data’ zodat je zeker een template met AVG/GDPR-vragen te zien krijgt
  • doorloop vervolgens de rest van de wizard om een geschikte template te kiezen (d.w.z. de UGent ‘GDPR record’ template, of een andere AVG-compatibele template):
    • selecteer een externe financier uit de lijst, of kies 'not applicable/not listed' indien je geen DMP schrijft voor een financier/je financier niet in de lijst staat
    • UGent wordt voorgeselecteerd als jouw organisatie, zodat je UGent guidance te zien krijgt, alsook de UGent ‘GDPR record’ template (of eventuele andere AVG-compatibele institutionele templates) indien een externe financier niet van toepassing is/(nog) niet in de lijst staat

DMP invullen

  • vul in het nieuw aangemaakte DMP de ‘plan details’ (d.i. basisinformatie m.b.t. het onderzoeksproject) aan:
    • wie een DMP aanmaakt, wordt in de ‘plan details’ automatisch ingevoerd als ‘Principal Investigator/Researcher’ van het onderzoeksproject. Je kan dit aanpassen indien nodig via ‘Add/Remove collaborators’. Via dezelfde weg kan je bovendien nog een bijkomende contactpersoon voor het DMP opgeven waar aangewezen. Indien je zelf niet de hoofdpromotor van het project bent, voeg dan zeker je promotor toe als 'Principal Investigator' en verander je eigen rol naar 'Data Contact' voor het plan
  • beantwoord de vragen in je plan. Vragen zijn gegroepeerd in secties. Om je verwerkingsactiviteiten m.b.t. persoonsgegevens te registreren, moet je alleszins de verplichte AVG/GDPR-vragen invullen in de tool

Toegang Data Protection Officer

  • de Data Protection Officer van UGent heeft automatisch toegang tot je plan in DMPonline.be (via de ‘Share’ tab zie je wie welke toegangrechten heeft op je plan, en kan je bovendien nog andere personen toegang geven)

DMP exporteren

  • je kan je DMP uit de tool exporteren in verschillende bestandsformaten (.docx, .pdf, .txt), bv. wanneer je een mijlpaalversie van je DMP wil opslaan of formeel indienen bij een financier, bij Onderzoekscoördinatie enz. Wie een uitgebreid DMP opstelt, kan via de export settings kiezen of de AVG/GDPR-vragen mee opgenomen moeten worden in het exportdocument (dat kan bv. afhangen van waar je je DMP wil indienen). Voor het registreren van verwerkingsactiviteiten zelf volstaat in principe echter het invullen van de AVG/GDPR-vragen in de online tool – je hoeft daarvoor dus zelf geen DMP-document te exporteren en in te dienen.

DMP up to date houden

  • hou in de loop van je onderzoeksproject je DMP, en in het bijzonder de AVG/GDPR-vragen, up to date in DMPonline.be (via het ‘View plans’ menu kan je een lijst van reeds aangemaakte plannen zien die je vervolgens verder kan bewerken)

 

Een uitgebreidere handleiding voor het gebruik van DMPonline.be is te vinden in onderzoekstip: DMPonline.be: how do I write a Data Management Plan?

Meer informatie

Bijlagen

Meer tips

Translated tip


Laatst aangepast 30 maart 2020 13:32