Gegevens in kaart brengen en registratie van verwerking

Wat is Gegevens in kaart brengen en registratie van verwerking?

Een Register van Verwerkingsactiviteiten (RoPA) is verplichte documentatie die vereist wordt door AVG-artikel 30 voor elke organisatie met 250 of meer werknemers, of elke organisatie die verwerking uitvoert die niet incidenteel is, bijzondere categorieën gegevens omvat of een risico vormt voor betrokkenen. In de praktijk heeft vrijwel elke organisatie die persoonsgegevens verwerkt deze registers nodig. Deze oefening geeft u de taak om een verwerkingsregister vanaf nul op te bouwen voor een middelgrote organisatie. U begint met het afnemen van datamapping-interviews bij afdelingshoofden om te ontdekken welke persoonsgegevens elk team verzamelt, waarom ze die verzamelen, waar ze worden opgeslagen, met wie ze worden gedeeld en hoe lang ze worden bewaard. De uitdaging is dat geen enkel persoon in welke organisatie dan ook het volledige beeld kent. Marketing gebruikt één set tools, HR een andere, klantenservice een derde en financiën heeft zijn eigen systemen. Uw taak is om deze gefragmenteerde gegevensstromen samen te brengen in een coherent register. De oefening behandelt elk veld dat vereist is onder artikel 30(1) voor verwerkingsverantwoordelijken: verwerkingsdoelen, categorieën betrokkenen en persoonsgegevens, categorieën ontvangers, internationale overdrachten, bewaartermijnen en een algemene beschrijving van beveiligingsmaatregelen. U oefent ook het actueel houden van deze registers, want een register dat de gegevensstromen van vorig jaar weerspiegelt is een compliancerisico. Organisaties die nauwkeurige verwerkingsregisters bijhouden, lossen DSAR's sneller op, voeren soepelere DPIA's uit en tonen verantwoording tijdens audits. De oefening leert u om een levend document op te bouwen in plaats van een eenmalig compliance-artefact.

Wat je leert in Gegevens in kaart brengen en registratie van verwerking

• Datamapping-interviews uitvoeren bij afdelingen om alle verwerkingsactiviteiten van persoonsgegevens te ontdekken
• Artikel 30(1)-conforme registers opstellen die doelen, gegevenscategorieën, ontvangers, overdrachten en bewaartermijnen documenteren
• Gegevensstromen in kaart brengen tussen interne systemen en externe verwerkers om ongedocumenteerde deling te identificeren
• Een onderhoudsproces opzetten dat verwerkingsregisters actueel houdt wanneer systemen veranderen
• Het verwerkingsregister gebruiken als operationeel instrument dat DSAR-respons, DPIA's en auditvoorbereiding versnelt

Gegevens in kaart brengen en registratie van verwerking — Trainingsstappen

1. Introductie

   Als zorgorganisatie die gevoelige patiëntgegevens verwerkt, is het bijhouden van nauwkeurige registraties van verwerkingsactiviteiten niet optioneel; het is een wettelijke vereiste onder artikel 30 van de AVG. Vandaag is het begin van uw jaarlijkse ROPA-beoordeling. De toezichthoudende autoriteit heeft aangekondigd dat er meer toezicht zal worden gehouden op gezondheidszorgorganisaties, en u moet ervoor zorgen dat elke verwerkingsactiviteit goed wordt gedocumenteerd.

2. Artikel 30 Vereisten

   Artikel 30 van de AVG vereist dat verwerkingsverantwoordelijken schriftelijke gegevens bijhouden met daarin: Naam en contactgegevens van de verwerkingsverantwoordelijke Doeleinden van de verwerking Categorieën van betrokkenen en persoonsgegevens Categorieën van ontvangers Overdrachten naar derde landen (indien van toepassing) Bewaartermijnen Technische en organisatorische beveiligingsmaatregelen Zorggegevens zorgen voor extra complexiteit - u moet ook juridische documenten documenteren grondslagen voor de verwerking van gezondheidsgegevens van bijzondere categorieën op grond van artikel 9.

3. Het gegevensstroomdiagram openen

   U opent de Data Governance Portal om toegang te krijgen tot de tool Data Flow Diagram. Met dit portaal kunt u alle gegevensverwerkingsactiviteiten bij Meridian Healthcare visualiseren: elk systeem dat persoonlijke gegevens verwerkt, hoe gegevens daartussen stromen en de wettelijke basis voor elke verwerkingsactiviteit.

4. Het diagram begrijpen

   Het Data Flow Diagram toont alle entiteiten die betrokken zijn bij de verwerking van persoonsgegevens bij Meridian Healthcare. Elk knooppunt vertegenwoordigt een systeem, persoon of organisatie. De lijnen tussen knooppunten laten zien hoe gegevens stromen. Verschillende kleuren geven verschillende soorten entiteiten aan: Blauw - Betrokkenen (patiënten) Groen - Verwerkingsverantwoordelijken (uw systemen) Oranje - Verwerkers (derden die namens u handelen) Paars - Derden (onafhankelijke ontvangers)

5. Identificatie van de betrokkene

   Elke ROPA-invoer begint met het identificeren van de betrokkenen. In de gezondheidszorg zijn de voornaamste betrokkenen patiënten. U moet documenteren welke categorieën persoonsgegevens u van hen verzamelt en ervoor zorgen dat u voor elke categorie een geldige wettelijke basis heeft.

6. Categorieën patiëntgegevens

   Het Patiënt-knooppunt onthult de categorieën van verzamelde persoonlijke gegevens: Identiteitsgegevens (naam, geboortedatum, nationale identiteitskaart) Contactgegevens (adres, telefoon, e-mail) Ziektedossiers - gegevens van speciale categorieën Verzekeringsinformatie Voor medische dossiers is een specifieke wettelijke basis vereist op grond van artikel 9 - standaardtoestemming of legitiem belang is niet voldoende voor gegevens van speciale categorieën.

7. Gegevensverzameling traceren

   U moet documenteren hoe patiëntgegevens uw organisatie binnenkomen. Er zijn twee primaire verzamelpunten: het Patiëntenportaal voor registratie en toestemming, en directe klinische intake voor medische dossiers. Elk toegangspunt heeft een gedocumenteerde wettelijke basis en doel nodig.

8. Documenteren van patiëntenregistratie

   De eerste verwerkingsactiviteit die moet worden gedocumenteerd, is de patiëntenregistratie. Wanneer patiënten via het portaal accounts aanmaken, verzamelt u identiteits- en contactgegevens en legt u hun toestemmingsvoorkeuren vast. De wettelijke grondslagen zijn: Toestemming - voor marketingcommunicatie Contract - voor dienstverlening Bewaring: Duur van de patiëntrelatie plus 10 jaar voor verplichtingen inzake medische dossiers.

9. Registratieactiviteit markeren

   De verwerkingsactiviteit Patiëntregistratie is nu gemarkeerd. Dit is een cruciale ROPA-invoer omdat hiermee de toestemmingsregistraties worden vastgelegd die downstream-verwerking ondersteunen. Zonder de juiste registratiedocumentatie kunt u niet bewijzen dat er geldige toestemming is verkregen.

10. Klinische zorgverwerking

    De kernverwerkingsactiviteit bij elke gezondheidszorgorganisatie is de levering van klinische zorg. Dit omvat het verwerken van gezondheidsgegevens van speciale categorieën: diagnoses, behandelingen, recepten en klinische aantekeningen. De rechtsgrondslag is Medische Noodzaak op grond van artikel 9, lid 2, onder h), dat verwerking toestaat die noodzakelijk is voor medische diagnose of behandeling.