AVG: hoe registreer ik mijn verwerkingen van persoonsgegevens?

Waarom verwerkingsactiviteiten registreren?

De Algemene Verordening Gegevensbescherming (AVG, beter bekend als General Data Protection Regulation of GDPR) vereist dat alle verwerkingen van persoonsgegevens aan UGent en UZ Gent gedocumenteerd en geregistreerd worden in een ‘register van verwerkingsactiviteiten’, het AVG Register.

Deze interne registratie vervangt de vroegere ‘aangifteplicht’ bij de Privacycommissie, en is een essentieel hulpmiddel voor de onderzoeker om aan zijn verantwoordingsplicht te voldoen.

Wanneer verwerkingsactiviteiten registreren?

Nieuwe verwerkingsactiviteiten

De registratie moet gebeuren voor elke nieuwe verwerkingsactiviteit, d.w.z. aan het begin van elk nieuw onderzoeksproject waarbij persoonsgegevens worden verwerkt (of de fase in het project waarbij persoonsgegevens worden verwerkt), en dit nog vóór de start van de eigenlijke verzameling/verwerking van de gegevens.

Bestaande verwerkingsactiviteiten

Ook bestaande verwerkingsactiviteiten moeten geregistreerd worden. Het gaat hier dus om lopende onderzoeksprojecten, of ze nu gestart zijn voor of na 25/05/2018 (d.i. de datum waarop de AVG in werking is getreden).

Updates

Daarnaast is het belangrijk om de info m.b.t. de geregistreerde verwerkingsactiviteiten up to date te houden gedurende de looptijd van het onderzoeksproject.

Waar en hoe verwerkingsactiviteiten registreren?

Voor onderzoek kunnen onderzoekers hun verwerkingsactiviteiten registreren tegelijk met het opstellen van een Data Management Plan (DMP), aangezien informatie in het AVG Register ingevoerd kan worden via de DMPonline.be interface.

Gebruik de templates in de online tool DMPonline.be

Er zijn twee mogelijke routes om verwerkingsactiviteiten m.b.t. persoonsgegevens te documenteren en registreren via DMPonline.be:

Wanneer je een nieuw plan/nieuwe entry wil aanmaken in de tool, moet je eerst aangeven of je persoonsgegevens zal verwerken. Zo ja, dan worden enkel templates aangeboden waarin een reeks verplicht in te vullen AVG-vragen is opgenomen.

Indien je voor een onderzoeksproject een DMP wil of moet opstellen, bijvoorbeeld voor een externe financier, kan je tegelijk ook je verwerkingsactiviteiten registreren door een AVG-compatibele DMP template te gebruiken.
Indien je geen DMP schrijft of er reeds een afzonderlijk DMP bestaat, en je dus louter verwerkingsactiviteiten m.b.t. persoonsgegevens dient te registreren, kan je aan de slag met de UGent/UZ Gent template ‘GDPR Record’ (in het Engels) of 'AVG Register' (in het Nederlands).

Hoe ga je te werk?

Inloggen

Nieuw plan aanmaken

Maak een nieuwe entry aan door op ‘Create plan’ te klikken.
Geef in de ‘Create a new plan’ wizard de correcte titel van het onderzoeksproject in (verplicht) waarvoor je het DMP wil schrijven/de verwerkingsactiviteiten wil registreren, en selecteer de optie ‘I will process personal data’ zodat je zeker een template mét AVG-vragen te zien krijgt.
Doorloop vervolgens de rest van de wizard om een geschikte template te kiezen (d.w.z. de UGent/UZ Gent ‘GDPR Record’ of ‘AVG Register’ template, of een AVG-compatibele DMP template). Selecteer een externe financier uit de lijst, of kies 'not applicable/not listed' indien je geen DMP schrijft voor een financier/je financier niet in de lijst staat.

Plan invullen

Vul in het nieuw aangemaakte plan de ‘Plan details’ (d.i. basisinformatie m.b.t. het onderzoeksproject) aan:
- wie een plan aanmaakt, wordt in de ‘Plan details’ automatisch ingevoerd als ‘Principal Investigator/Researcher’ van het onderzoeksproject. Je kan dit aanpassen indien nodig via ‘Add/Remove collaborators’. Via dezelfde weg kan je bovendien nog een bijkomende contactpersoon voor het plan opgeven waar aangewezen. Indien je zelf niet de hoofdpromotor van het project bent, voeg dan zeker je promotor toe als 'Principal Investigator' en verander je eigen rol naar 'Data Contact' voor het plan.
Beantwoord de vragen in je plan. Je kan ze vinden door te navigeren naar de tabs naast ‘Plan details’:
- om je verwerkingsactiviteiten m.b.t. persoonsgegevens te registreren, moet je alleszins de verplichte AVG-vragen invullen onder de tab ‘GDPR Record’ of ‘AVG Register’.
- indien de verwerking van persoonsgegevens in je onderzoek een waarschijnlijk hoog risico inhoudt, zal je ook een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assessment (DPIA) moeten uitvoeren door de vragen te beantwoorden onder de tab ‘GEB’ of ‘DPIA’.
- indien je naast het registeren van verwerkingsactiviteiten/uitvoeren van een GEB ook nog een DMP schrijft, vind je eveneens een ‘DMP’ tab met vragen om je te helpen met het opstellen van je DMP.

Toegang Data Protection Officer

De Data Protection Officer van UGent (privacy@ugent.be) / UZ Gent (dpo@uzgent.be) heeft automatisch toegang tot je plan in DMPonline.be (via de ‘Share’ tab zie je wie welke toegangrechten heeft op je plan, en kan je bovendien nog andere personen toegang geven).

Plan exporteren

Je kan elke afzonderlijke component van je plan (AVG Register/GDPR Record, GEB/DPIA, DMP) uit de tool exporteren in verschillende bestandsformaten (.docx, .pdf, .txt), bv. wanneer je een mijlpaalversie wil opslaan, of wanneer je formeel een document wil indienen bij een financier, bij Onderzoekscoördinatie, bij je ethische commissie enz.
Voor het eigenlijke registreren van verwerkingsactiviteiten ter naleving van de AVG volstaat in principe echter het invullen van de AVG-vragen in de online tool - specifiek daarvoor hoef je dus zelf geen document te exporteren en in te dienen.
Let wel: indien je voor je onderzoek een advies nodig hebt of wenst van een ethische commissie, vormt het indienen van je AVG Register/GDPR Record-document in elk geval een ontvankelijkheidsvereiste voor je aanvraag tot ethische goedkeuring. In dit geval moet je dus wel zelf een document exporteren uit de tool.

Plan up to date houden

Hou je plan, en in het bijzonder de AVG-vragen, up to date in DMPonline.be in de loop van je onderzoeksproject. Via het ‘View plans’ menu kan je een lijst van reeds aangemaakte plannen zien die je vervolgens verder kan bewerken).

Een uitgebreidere handleiding voor het gebruik van DMPonline.be is te vinden in onderzoekstip: DMPonline.be: how do I write a Data Management Plan?

Meer informatie

Onderzoek en privacy

Meer tips

AVG: hoe ben ik transparant ten aanzien van de betrokkenen van mijn onderzoek? (Integer onderzoeken)
AVG: hoe beveilig ik mijn data op een correcte manier? (Integer onderzoeken)
AVG: hoe lang mogen onderzoeksdata met persoonsgegevens bewaard worden? (Integer onderzoeken)
AVG: hoe zorg ik ervoor dat de verwerking van persoonsgegevens rechtmatig gebeurt? (Integer onderzoeken)
AVG: Mag ik onderzoeksdata met persoonsgegevens delen met andere onderzoekers of instellingen wanneer mijn onderzoeksproject afgelopen is? (Integer onderzoeken)
AVG: waar moet ik aan denken vooraleer ik bijzondere categorieën van persoonsgegevens verwerk? (Integer onderzoeken)
AVG: Waar moet ik aan denken wanneer ik persoonsgegevens verwerk van minderjarigen? (Integer onderzoeken)
AVG: Waaraan moet ik denken bij de doorgifte van persoonsgegevens naar andere landen of internationale organisaties? (Integer onderzoeken)
AVG: waaraan moet ik denken bij het design van mijn onderzoek? (Integer onderzoeken)
AVG: Waaraan moet ik denken wanneer ik samenwerk met anderen of mijn data deel? (Integer onderzoeken)
AVG: waarom is het belangrijk om mij te houden aan deze wetgeving? (Integer onderzoeken)
AVG: wanneer is deze van toepassing op mijn onderzoek? (Integer onderzoeken)
AVG: Wanneer verwerk ik persoonsgegevens met een hoog risico en wanneer moet ik een GEB uitvoeren? (Integer onderzoeken)
AVG: wat is de Algemene Verordening Gegevensbescherming? (Integer onderzoeken)
AVG: wat moet ik doen bij een verdere/secundaire verwerking van persoonsgegevens? (Integer onderzoeken)
AVG: Wat moet ik doen wanneer er sprake is van een datalek? (Integer onderzoeken)
AVG: wat verandert er ten opzichte van de vorige privacywetgeving? (Integer onderzoeken)
AVG: wat wordt beschouwd als kwetsbare personen? (Integer onderzoeken)
AVG: wat zijn de basisprincipes? (Integer onderzoeken)
AVG: wat zijn de verschillende rollen en verantwoordelijkheden? (Integer onderzoeken)
AVG: wat zijn persoonsgegevens? (Integer onderzoeken)
AVG: welke informatie moet ik opnemen in een informed consent formulier wanneer de verwerking van persoonsgegevens gebaseerd is op toestemming van de betrokkenen? (Integer onderzoeken)
AVG: welke rechten hebben de betrokkenen, hoe respecteer ik deze en welke uitzonderingen kunnen gelden voor onderzoek? (Integer onderzoeken)
DMPonline.be: How do I write a Data Management Plan? (Schrijven)
DMPonline.be: when and how to sign in via ORCID? (Integer onderzoeken)

Translated tip

GDPR: how do I register personal data processing activities?

tags:

Integer onderzoeken

Laatst aangepast 17 februari 2021 09:13

Vragen? Suggesties?

libservice@ugent.be