AVG: hoe registreer ik mijn verwerkingen van persoonsgegevens?
Waarom verwerkingsactiviteiten registreren?
De Algemene Verordening Gegevensbescherming (AVG) of de General Data Protection Regulation (GDPR) vereist dat alle verwerkingen van persoonsgegevens aan de UGent en het UZ Gent gedocumenteerd en geregistreerd worden in een ‘register van verwerkingsactiviteiten’, het AVG-Register.
Die interne documentatieplicht is een essentieel hulpmiddel voor de onderzoeker om aan zijn verantwoordingsplicht te voldoen.
Wanneer verwerkingsactiviteiten registreren?
Of je nu optreedt als verwerkingsverantwoordelijke of als verwerker, je dient verwerkingsactiviteiten die onder jouw verantwoordelijkheid plaatsvinden, te registreren.
Nieuwe verwerkingsactiviteiten
De registratie moet gebeuren voor elke nieuwe verwerkingsactiviteit, dat wil zeggen: aan het begin van elk nieuw onderzoeksproject waarbij je persoonsgegevens verwerkt (of de fase in het project waarbij je persoonsgegevens verwerkt), en dat nog vóór de start van de eigenlijke verzameling/verwerking van de gegevens.
Bestaande verwerkingsactiviteiten
Ook bestaande verwerkingsactiviteiten moet je registreren. Het gaat daarbij dus om lopende onderzoeksprojecten, of ze nu gestart zijn voor of na 25 mei 2018 (dat is de datum waarop de AVG in werking is getreden).
Updates
Daarnaast is het belangrijk om de info met betrekking tot de geregistreerde verwerkingsactiviteiten up-to-date te houden gedurende de looptijd van het onderzoeksproject.
Waar en hoe verwerkingsactiviteiten registreren?
Er zijn twee mogelijke routes om verwerkingsactiviteiten met betrekking tot persoonsgegevens te documenteren en registreren via DMPonline.be:
- Als je voor een onderzoeksproject een Data Management Plan(DMP) wil of moet (bv. voor een externe financier) opstellen, kan je tegelijk ook je verwerkingsactiviteiten registreren.
- Als je geen DMP schrijft, of er al een afzonderlijk/bestaande DMP zonder registratie van verwerkingsactiviteiten bestaat, moet je jouw verwerkingsactiviteiten met betrekking tot persoonsgegevens registreren door middel van het gebruiken van de UGent/UZ Gent template ‘GDPR Record (EN)' of 'AVG Record (NL)'.
Bij een Data Management Plan
Onderzoekers kunnen hun verwerkingsactiviteiten registreren terwijl ze een Data Management Plan (DMP) opstellen, via DMPonline.be.
Een DMP-verplichting kan bestaan, maar is niet van toepassing op alle projecten. Dat is momenteel wel het geval voor alle doctoraten die gestart zijn sinds academiejaar 2020-2021 en als de onderzoeksfinancier dat vereist (bv. FWO, Horizon 2020, Horizon Europe, BOF, enz.). Als het niet verplicht is, is het wel nog steeds goede praktijk om een plan op te stellen waarin staat hoe je de onderzoeksdata gaat beheren.
- Meer informatie over UGent beleid inzake Data ManagementPlannen.
- Meer informatie over de eisen door externe financiers inzakeData Management Plannen.
Afzonderlijke registratie
Daarnaast is er een registratieverplichting voor alle onderzoeksprojecten waarin persoonsgegevens verwerkt worden. Die registratie gebeurt ook via dmponline.be. Daarvoor selecteer je (enkel) het gedeelte ‘AVG Register’ (NL) /’GDPR record’ (ENG), en beantwoord je de vragen om je verwerkingsactiviteit te registreren. Eventueel dien je ook het gedeelte ‘gegevensbeschermingseffectbeoordeling’ (GEB)/ ‘Data Protection Impact Assessment (DPIA)’ in te vullen.
Hoe ga je te werk?
Inloggen
- Log in met je UGent of UZ Gent account op dmponline.be.
Nieuw plan aanmaken
- Maak een nieuwe entry aan door op ‘Create plan’ te klikken.
- Geef in de ‘Create a new plan’ pagina de correcte titel van het onderzoeksproject in waarvoor je het DMP wil schrijven/de verwerkingsactiviteiten wil registreren.
- Laat Ghent University (UGent) staan als 'primary research organisation'. Templates voor UZ Gent en UGent worden beide beheerd vanuit die 'research organisation'.
- Doorloop vervolgens de rest van het formulier om een geschikte template te kiezen (d.w.z. de UGent/UZ Gent ‘GDPR Record (EN)’ of ‘AVG Record (NL)’ template, of een AVG-compatibele DMP template). Selecteer een externe financier uit de lijst, of kies 'no funder associated with this plan or not listed' als je geen DMP schrijft voor een financier/je financier niet in de lijst staat.
Plan invullen
- Vul in het nieuw aangemaakte plan de ‘Plan details’ aan (d.i. basisinformatie m.b.t. het onderzoeksproject):
- wie een plan aanmaakt, wordt in de ‘Plan details’ automatisch ingevoerd als ‘Creator’ van het onderzoeksproject. Indien nodig kan je de rollen van de medewerkers aan het project aanpassen via de 'Share' tab. Via dezelfde weg kan je bovendien nog een bijkomende contactpersoon voor het plan opgeven waar aangewezen. Als je zelf niet de hoofdpromotor van het project bent, voeg dan zeker je promotor toe als 'Principal Investigator' en verander je eigen rol naar 'Data Manager' of 'Project Administrator' voor het plan.
- Beantwoord de vragen in je plan. Je kan ze vinden door te navigeren naar de tabs naast ‘Plan details’:
- om je verwerkingsactiviteiten met betrekking tot persoonsgegevens te registreren, moet je in ieder geval de verplichte AVG-vragen invullen onder de tab ‘GDPR Record’ of ‘AVG Register’.
- als de verwerking van persoonsgegevens in je onderzoek een waarschijnlijk hoog risico inhoudt, zal je ook een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assessment (DPIA) moeten uitvoeren door de vragen te beantwoorden onder de tab ‘GEB’ of ‘DPIA’.
- als je naast het registeren van verwerkingsactiviteiten/uitvoeren van een GEB ook nog een DMP schrijft, vind je eveneens een ‘DMP’ tab met vragen die je helpen om je DMP op te stellen.
Toegang Data Protection Officer
- De Data Protection Officer van de UGent (privacy@ugent.be) / het UZ Gent (dpo@uzgent.be) heeft automatisch leesrechten op je plan in DMPonline.be als een van de admins van de applicatie.
Plan exporteren
- Je kan elke afzonderlijke component van je plan (AVG Register/GDPR Record, GEB/DPIA, DMP) uit de tool exporteren in verschillende bestandsformaten (.docx, .pdf, .txt), bijvoorbeeld wanneer je een mijlpaalversie wil opslaan, of wanneer je formeel een document wil indienen bij een financier, bij Onderzoekscoördinatie, bij je ethische commissie, enz.
- Voor het eigenlijke registreren van verwerkingsactiviteiten ter naleving van de AVG volstaat het in principe echter om de AVG-vragen in te vullen in de online tool - specifiek daarvoor hoef je dus zelf geen document te exporteren en in te dienen.
- Let wel: als je voor je onderzoek een advies nodig hebt of wenst van een ethische commissie, vormt het indienen van je AVG Register/GDPR Record-document in elk geval een ontvankelijkheidsvereiste voor je aanvraag tot ethische goedkeuring. In dat geval moet je dus wel zelf een document exporteren uit de tool.
Plan up to date houden
- Hou je plan, en in het bijzonder de AVG-vragen, up-to-date in DMPonline.be in de loop van je onderzoeksproject. Via het ‘My Dashboard’ menu kan je een lijst van reeds aangemaakte plannen zien die je vervolgens verder kan bewerken.
Een uitgebreidere handleiding voor DMPonline.be is te vinden in onderzoekstip: DMPonline.be: how do I write a Data Management Plan?
Meer informatie
Meer tips
- AVG: hoe ben ik transparant ten aanzien van de betrokkenen van mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: hoe beveilig ik mijn data op een correcte manier? (Integer onderzoek & ethiek)
- AVG: hoe lang mag ik onderzoeksdata met persoonsgegevens bewaren? (Integer onderzoek & ethiek)
- AVG: Hoe pseudonimiseer ik mijn data? (Integer onderzoek & ethiek)
- AVG: hoe zorg ik ervoor dat de verwerking van persoonsgegevens rechtmatig gebeurt? (Integer onderzoek & ethiek)
- AVG: Mag ik onderzoeksdata met persoonsgegevens delen met andere onderzoekers of instellingen wanneer mijn onderzoeksproject afgelopen is? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken als ik (online) surveytools gebruik? (Integer onderzoek & ethiek)
- AVG: Waar moet ik aan denken bij het ontwikkelen of gebruiken van AI? (Integer onderzoek & ethiek)
- AVG: Waar moet ik aan denken bij ontwikkelen of inzetten van apps voor onderzoek? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken vooraleer ik bijzondere categorieën van persoonsgegevens verwerk? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken wanneer ik gebruik maak van een mailinglijst/verzendlijst in het kader van mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: waar moet ik aan denken wanneer ik persoonsgegevens verwerk van minderjarigen? (Integer onderzoek & ethiek)
- AVG: Waar moet ik rekening mee houden als ik sociale media gegevens gebruik voor wetenschappelijk onderzoek? (Integer onderzoek & ethiek)
- AVG: Waaraan moet ik denken bij de doorgifte van persoonsgegevens naar andere landen of internationale organisaties? (Integer onderzoek & ethiek)
- AVG: waaraan moet ik denken bij het design van mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: Waaraan moet ik denken wanneer ik samenwerk met anderen of mijn data deel? (Integer onderzoek & ethiek)
- AVG: waarom is het belangrijk om mij te houden aan deze wetgeving? (Integer onderzoek & ethiek)
- AVG: wanneer doe ik aan ‘profilering’; waar moet ik aan denken? En wat is ‘uitsluitend geautomatiseerde besluitvorming’? (Integer onderzoek & ethiek)
- AVG: wanneer is deze wetgeving van toepassing op mijn onderzoek? (Integer onderzoek & ethiek)
- AVG: Wanneer verwerk ik persoonsgegevens met een hoog risico en wanneer moet ik een GEB uitvoeren? (Integer onderzoek & ethiek)
- AVG: wat is de Algemene Verordening Gegevensbescherming? (Integer onderzoek & ethiek)
- AVG: wat moet ik doen bij een verdere/secundaire verwerking van persoonsgegevens? (Integer onderzoek & ethiek)
- AVG: Wat moet ik doen wanneer er sprake is van een datalek? (Integer onderzoek & ethiek)
- AVG: wat verandert er ten opzichte van de vorige privacywetgeving? (Integer onderzoek & ethiek)
- AVG: wat zijn de basisprincipes? (Integer onderzoek & ethiek)
- AVG: wat zijn de verschillende rollen en verantwoordelijkheden? (Integer onderzoek & ethiek)
- AVG: wat zijn persoonsgegevens? (Integer onderzoek & ethiek)
- AVG: welke informatie moet ik opnemen in een informed consent formulier wanneer de verwerking van persoonsgegevens gebaseerd is op toestemming van de betrokkenen? (Integer onderzoek & ethiek)
- AVG: welke rechten hebben de betrokkenen, hoe respecteer ik deze en welke uitzonderingen kunnen gelden voor onderzoek? (Integer onderzoek & ethiek)
- AVG: wie wordt beschouwd als kwetsbare personen? (Integer onderzoek & ethiek)
- DMPonline.be: How do I write a Data Management Plan? (Schrijven)
- DMPonline.be: sign in via ORCID (Integer onderzoek & ethiek)
- Qualtrics: hoe gebruik ik deze surveytool? (Integer onderzoek & ethiek)
- RSpace: hoe gebruik ik dit ELN? (Integer onderzoek & ethiek)
Vertaalde tips
Laatst aangepast 28 augustus 2024 09:48