Stap 5: houd een register van verwerkingsactiviteiten bij

Onderwijsinstellingen zijn verplicht om een register van verwerkingsactiviteiten op te stellen en moeten dit desgevraagd kunnen voorleggen aan de gegevensbeschermingsautoriteit.

De verantwoordingsplicht voor de GDPR houdt onder andere in dat de verwerkingsverantwoordelijke een register van verwerkingsactiviteiten bijhoudt waarin staat welke gegevens op welke manier worden verwerkt, bij voorkeur in elektronische vorm (GDPR art. 30, lid 1).

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de verantwoordingsplicht en moet dat kunnen aantonen (art. 5, lid 2). Schoolbesturen moeten dus administratief voldoen aan alle verplichtingen, erover communiceren en sensibiliseren.

Daarom houd je de voornaamste aspecten inzake de verwerkingen van persoonsgegevens intern bij in een overzicht: het register van verwerkingsactiviteiten (art. 30, lid 1, de uitzonderingen in lid 5 gelden niet voor onderwijsinstellingen).

Ook verwerkers die optreden in opdracht van het schoolbestuur, dienen een register bij te houden van hun verwerkingsactiviteiten. Zij zijn daarvoor verantwoordelijk en je maakt best duidelijke afspraken over welke activiteiten al dan niet onder de verantwoordelijkheid van het schoolbestuur vallen. Daarvoor kun je de verwerkersovereenkomst gebruiken die te vinden is op www.privacyinonderwijs.be. Het schoolbestuur neemt in hun register(s) de identificatie op van alle verwerkers waarop zij een beroep doen (voor één, meerdere of al hun instellingen).

De inhoud

sla link op in klembord

Een register van verwerkingsactiviteiten bevat minimaal:

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke (en van het aanspreekpunt informatieveiligheid en van de functionaris voor gegevensbescherming);
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
  • de categorieën van ontvangers.

Indien van toepassing of indien mogelijk ook:

  • doorgiften van persoonsgegevens aan een derde land of een internationale organisatie;
  • de beoogde bewaartermijnen;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Ook de verwerkers waarop het schoolbestuur een beroep doet (voor één, meerdere of al hun instellingen) worden opgenomen.

Wie doet wat?

sla link op in klembord

Het schoolbestuur moet er als verwerkingsverantwoordelijke voor zorgen dat er voor elke instelling een register aanwezig is.

Het aanspreekpunt informatieveiligheid, eventueel uitgebreid met de cel voor informatieveiligheid is in de praktijk verantwoordelijk om het register aan te leggen én up-to-date te houden:

  • voeg nieuwe informatie of veranderingen inzake verwerkingsactiviteiten telkens zo snel mogelijk toe;
  • zorg voor periodieke controle op het document;
  • besteed bijzondere aandacht aan de juistheid van identificatie- en contactgegevens.

Directieleden en/of ICT-coördinatoren en platformbeheerders kunnen desgevallend ook (lees)toegang krijgen tot het register.

Contact

×
Kijkt als...
Niveau
Regio