Is mijn Belgische organisatie verplicht een register van verwerkingen bij te houden?

In België is het register verplicht voor organisaties met meer dan 250 werknemers. Kleine organisaties in België (minder dan 250 werknemers) zijn er ook toe gehouden als hun verwerkingen niet occasioneel zijn, bijzondere categorieën van gegevens of strafrechtelijke veroordelingen betreffen, of waarschijnlijk een risico inhouden voor de rechten van de betrokkenen. In de praktijk zijn de meeste actieve Belgische organisaties betrokken.

Wat is het verschil tussen de AVG en de Belgische Wet van 30 juli 2018?

De AVG is een Europese verordening die rechtstreeks van toepassing is in alle EU-lidstaten, inclusief in België. De Belgische Wet van 30 juli 2018 vult bepaalde AVG-bepalingen aan en preciseert ze voor België, met name voor verwerkingen door Belgische overheidsinstanties, de voorwaarden voor verwerking van gezondheidsgegevens en de specifieke bevoegdheden van de GBA belge. Beide teksten zijn gelijktijdig van toepassing in België.

Wat zijn de sancties voor niet-conformiteit met de AVG in België?

In België kan de GBA administratieve boetes opleggen van maximaal 10 miljoen euro of 2% van de wereldwijde omzet (kleine inbreuken) of maximaal 20 miljoen euro of 4% van de wereldwijde omzet (ernstige inbreuken). De GBA belge kan ook corrigerende maatregelen, waarschuwingen, bevelen en tijdelijke of definitieve verwerkingsverboden opleggen in België.

Moet er een FG worden aangesteld in België?

De aanstelling van een FG is verplicht in België voor Belgische overheidsinstanties en publieke organen, en voor organisaties waarvan de kernactiviteit regelmatige en stelselmatige grootschalige monitoring van betrokken personen vereist (gedragsgerichte reclame, telecommunicatie, enz.) of de grootschalige verwerking van bijzondere gegevens (gezondheidsgegevens, genetische gegevens, strafblad). De FG moet worden aangemeld bij de GBA belge.

Hoe lang moet het register van verwerkingen worden bewaard in België?

Het Belgisch register van verwerkingen heeft geen wettelijk gedefinieerde bewaartermijn, maar moet permanent worden bijgewerkt en de huidige stand van de verwerkingen weerspiegelen. In de praktijk wordt aanbevolen de gearchiveerde versies van het Belgisch register minimaal 5 jaar te bewaren om de continuïteit van de AVG-conformiteit aan te tonen. De GBA belge kan eerdere versies van het register opvragen bij een onderzoek.

Kan de GBA belge ons register van verwerkingen raadplegen?

Ja. Op grond van Artikel 30(4) AVG en de Belgische Wet van 30 juli 2018 kan de GBA belge bij een inspectie of onderzoek in België toegang vragen tot het register van verwerkingen. De Belgische verwerkingsverantwoordelijke is verplicht het onverwijld ter beschikking te stellen. Weigering tot mededeling kan een bijkomende inbreuk vormen die aanleiding kan geven tot bijkomende sancties door de GBA belge.

Moeten verwerkers worden opgenomen in het Belgisch register van verwerkingen?

Ja. De Belgische verwerkingsverantwoordelijke moet zijn verwerkers identificeren in zijn register en ervoor zorgen dat verwerkersovereenkomsten conform Artikel 28 AVG van kracht zijn. Verwerkers gevestigd in België of die gegevens verwerken voor Belgische verwerkingsverantwoordelijken moeten ook hun eigen register bijhouden conform Artikel 30(2) AVG.

Moeten de cookies van onze Belgische website in het register worden opgenomen?

Ja. Gegevensverwerkingen die verband houden met cookies (analyse, reclame, voorkeuren) vormen verwerkingen van persoonsgegevens die onderworpen zijn aan de AVG en de Belgische Wet van 30 juli 2018. Ze moeten worden opgenomen in het register van verwerkingen van uw Belgische organisatie. De GBA belge heeft specifieke aanbevelingen gepubliceerd over het gebruik van cookies in België, met name de verplichting om vrije, geïnformeerde, specifieke en ondubbelzinnige toestemming te verkrijgen voor niet-strikt noodzakelijke cookies.

AVG & GegevensbeschermingBE

Gratis model Register van Verwerkingsactiviteiten AVG voor België

Een volledig register van verwerkingsactiviteiten conform de AVG en de Belgische Wet van 30 juli 2018 inzake de bescherming van persoonsgegevens. Alle verplichte rubriken van Artikel 30 AVG en de vereisten van de Gegevensbeschermingsautoriteit (GBA) belge zijn inbegrepen.

Créer votre Register van Verwerkingsactiviteiten

Utilisation gratuitePDF instantanéAucun compte requis

Art. 30 AVG (EU 2016/679) · Wet 30 Juli 2018 · GBA België

A. VERWERKINGSVERANTWOORDELIJKE

NAAM / HANDELSNAAM	Vandenberghe Tech BV
RECHTSVORM	BV
KBO-NUMMER	0123.456.789
ADRES	Meir 44, bte 3, 2000 Antwerpen
E-MAIL	privacy@vandenberghe-tech.be
TELEFOON	+32 3 456 78 90
FUNCTIONARIS VOOR GEGEVENSBESCHERMING (FG)	Aangesteld — fg@vandenberghe-tech.be

B. BESCHRIJVING VAN DE VERWERKING

NAAM VAN DE VERWERKING	HR-verwerking — personeelsbeheer werknemers
DOEL(EINDEN)	Beheer van arbeidsovereenkomsten, loonberekening, verlofbeheer, jaarlijkse evaluaties, sociale administratie (RSZ, loonfiches, bedrijfswagen).
RECHTSGROND	Wettelijke verplichting (Art. 6§1c AVG)
CATEGORIEËN BETROKKENEN	Werknemers (vast en tijdelijk), uitzendkrachten, stagiairs
CATEGORIEËN PERSOONSGEGEVENS	identiteit_contact
BEWAARTERMIJN	5 jaar na einde contract (fiscale verplichting) — loonarchief: 7 jaar (art. 2262bis BW)

C. ONTVANGERS EN OVERDRACHTEN

OVERDRACHT AAN DERDEN	Ja
ONTVANGERS	Sociaal secretariaat (Partena Professional), RSZ, FOD Financiën, externe boekhouder
OVERDRACHT BUITEN EU/EER	Nee

D. BEVEILIGINGSMAATREGELEN (ART. 32 AVG)

TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

— Toegangsbeperking op basis van rol (RBAC), MFA verplicht
— Versleuteling onderweg (TLS 1.3) en in rust (AES-256)
— Dagelijkse versleutelde back-ups, opslag in België
— Jaarlijkse AVG-opleiding voor HR-medewerkers
— Incidentbeheer: detectie < 4u, melding GBA < 72u

VERKLARING VAN AVG-CONFORMITEIT

De verwerkingsverantwoordelijke, Vandenberghe Tech BV, ingeschreven in de KBO onder nummer 0123.456.789, verklaart dat de in dit register beschreven verwerkingsactiviteiten worden uitgevoerd overeenkomstig de Verordening (EU) 2016/679 (AVG) en de Belgische Wet van 30 juli 2018 betreffende de bescherming van persoonsgegevens.

Dit register wordt ter beschikking gehouden van de Gegevensbeschermingsautoriteit (GBA) op eenvoudig verzoek, overeenkomstig artikel 30 § 4 AVG.

Er is een Functionaris voor Gegevensbescherming (FG) aangesteld overeenkomstig artikel 37 AVG. Contact FG: fg@vandenberghe-tech.be.

E. AANVULLENDE INFORMATIE (EXPERT)

NAAM FG	Lien Vandenberghe
CONTACTGEGEVENS FG	fg@vandenberghe-tech.be — Meir 44, 2000 Antwerpen — +32 3 456 78 91
DPIA (ART. 35 AVG)	Niet vereist voor deze verwerking
PROCEDURE DATALEKKEN (ART. 33–34 AVG)	Detectie via SIEM — Escalatie FG binnen 4u — Melding GBA via www.gegevensbeschermingsautoriteit.be binnen 72u — Kennisgeving betrokkenen bij hoog risico
VERWERKERS (ART. 28 AVG)	— Partena Professional (sociaal secretariaat) — VAO ondertekend — Microsoft 365 Europe (e-mail, opslag) — SCC 2021/914 + VAO — SD Worx (loonbeheer) — VAO ondertekend, servers EU

VERWERKINGSVERANTWOORDELIJKE

Vandenberghe Tech BV

Date : ____________________

FUNCTIONARIS VOOR GEGEVENSBESCHERMING

Lien Vandenberghe

Date : ____________________

Wat is een register van verwerkingsactiviteiten in België?

Het register van verwerkingsactiviteiten is een intern verplicht document in België voor de meeste organisaties die persoonsgegevens verwerken. Het inventariseert alle verwerkingen van persoonsgegevens uitgevoerd door een verwerkingsverantwoordelijke of een verwerker in België, conform Artikel 30 van de Algemene Verordening Gegevensbescherming (AVG, Verordening (EU) 2016/679). Dit register is de ruggengraat van elk beleid inzake gegevensbescherming in België en stelt u in staat de conformiteit met het verantwoordingsbeginsel (accountability) aan te tonen.

In België is het register van verwerkingen verplicht voor organisaties met meer dan 250 werknemers en voor elke organisatie in België — ongeacht haar omvang — waarvan de verwerkingen waarschijnlijk een risico inhouden voor de rechten en vrijheden van de betrokken personen, gevoelige gegevens of gegevens betreffende strafrechtelijke veroordelingen verwerken, of niet-occasioneel worden uitgevoerd. De Gegevensbeschermingsautoriteit (GBA) belge kan bij een inspectie of onderzoek in België toegang vragen tot het register.

De Belgische Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens vult de AVG aan in België. Ze preciseert met name de voorwaarden voor verwerking van persoonsgegevens door Belgische overheidsinstanties, de specifieke voorwaarden voor bijzondere categorieën van gegevens en de bevoegdheden van de GBA belge. In België kan de niet-naleving van de verplichting om een register van verwerkingen bij te houden aanleiding geven tot administratieve boetes van maximaal 10 miljoen euro of 2% van de wereldwijde jaarlijkse omzet van de organisatie.

Wat omvat dit sjabloon

Het Belgische register van verwerkingsactiviteiten van Doxuno integreert alle verplichte rubriken van Artikel 30 AVG en de specifieke vereisten van de GBA belge.

Identificatie van de Belgische verwerkingsverantwoordelijke

Coördinaten, wettelijke vertegenwoordiger en functionaris voor gegevensbescherming (FG)

Doeleinden van de verwerkingen

Precieze doelstellingen van elke verwerking van gegevens in België

Categorieën van verwerkte gegevens

Soorten persoonsgegevens en bijzondere categorieën (Artikel 9 AVG)

Categorieën van betrokken personen

Klanten, werknemers, leveranciers en andere Belgische en buitenlandse personen

Ontvangers van de gegevens

Interne partijen en derden aan wie gegevens worden meegedeeld in België

Doorgifte aan derde landen

Waarborgen voor doorgiften buiten de EU conform de AVG belge

Bewaartermijnen

Bewaarduur van elke categorie van gegevens in België

Technische en organisatorische beveiligingsmaatregelen

Beschermingsmaatregelen conform Artikel 32 AVG

Rechtsgrondslag van de verwerking

Belgische rechtsgrondslag (toestemming, contract, wettelijke verplichting, enz.)

Rol van de Belgische verwerker

Specifiek register voor verwerkers conform Artikel 30(2) AVG

Gegevensbeschermingseffectbeoordeling (DPIA)

Verwijzing naar in België uitgevoerde effectbeoordelingen indien vereist

Hoe maakt u uw register van verwerkingsactiviteiten AVG in België?

Het Doxuno-sjabloon begeleidt u bij het opstellen van een register van verwerkingen conform de AVG en de Belgische Wet van 30 juli 2018 in enkele stappen.

1
Identificeer uw Belgische organisatie en uw AVG-rollen
Bepaal of uw Belgische organisatie verwerkingsverantwoordelijke, verwerker of beide is conform de AVG. Vermeld de volledige coördinaten van uw organisatie in België, de naam van de wettelijke vertegenwoordiger en, indien van toepassing, de coördinaten van uw functionaris voor gegevensbescherming (FG) belge of Europese FG. In België is de aanstelling van een FG verplicht voor overheidsinstanties en organisaties die op grote schaal gevoelige gegevens verwerken.
2
Inventariseer alle verwerkingen van gegevens in België
Breng systematisch alle verwerkingen van persoonsgegevens in kaart die door uw organisatie in België worden uitgevoerd: HR (verloning, werving, evaluatie), klantenbeheer (CRM, facturatie), marketing (nieuwsbrief, cookies), onderaanneming en leveranciersbeheer. Elke verwerking moet het voorwerp uitmaken van een afzonderlijk fiche in uw Belgisch register.
3
Documenteer de Belgische rechtsgrondslagen
Identificeer voor elke verwerking in België de toepasselijke rechtsgrondslag conform Artikel 6 AVG: uitdrukkelijke toestemming van de betrokken persoon, uitvoering van een Belgisch contract, Belgische of Europese wettelijke verplichting, vitaal belang, taak van algemeen belang of gerechtvaardigd belang van uw organisatie. De rechtsgrondslag moet nauwkeurig worden gedocumenteerd in uw Belgisch register.
4
Vermeld de Belgische bewaartermijnen
Vermeld voor elke categorie van gegevens in België de maximale bewaartermijn die wordt gerechtvaardigd door het doel van de verwerking of opgelegd door de Belgische wetgeving (7 jaar voor boekhoudkundige documenten, 5 jaar voor antiwitwasgegevens, enz.). De Belgische gegevens mogen niet langer worden bewaard dan noodzakelijk voor hun doel.
5
Beschrijf de Belgische beveiligingsmaatregelen
Documenteer de technische en organisatorische maatregelen die zijn getroffen om de persoonsgegevens in België te beschermen conform Artikel 32 AVG: versleuteling, toegangscontrole, pseudonimisering, wachtwoordbeleid, continuïteitsplan en procedure voor melding van datalekken aan de GBA belge (termijn van 72 uur).

Juridische overwegingen AVG in België

De AVG en de Belgische Wet van 30 juli 2018 leggen strikte verplichtingen op aan organisaties die persoonsgegevens verwerken in België. De GBA belge beschikt over uitgebreide controle- en sanctiebevoegdheden.

Dit sjabloon is uitsluitend informatief en vormt geen juridisch advies inzake gegevensbescherming in België. AVG-conformiteit hangt af van de specifieke kenmerken van uw gegevensverwerkingen in België. Raadpleeg een advocaat gespecialiseerd in gegevensrecht of een gecertificeerde functionaris voor gegevensbescherming (FG) in België.

Sjabloon nagekeken door Belgische juristen gespecialiseerd in gegevensbescherming. Conform de AVG en de Belgische Wet van 30 juli 2018. Aanbevolen door gecertificeerde FG's in België.

De Gegevensbeschermingsautoriteit (GBA) belge

De Gegevensbeschermingsautoriteit (GBA) — voorheen de Commissie voor de bescherming van de persoonlijke levenssfeer (CPVP) — is de onafhankelijke Belgische toezichthoudende autoriteit belast met het toezicht op de toepassing van de AVG en de Belgische Wet van 30 juli 2018 in België. De GBA belge kan inspecties uitvoeren, klachten van betrokken personen ontvangen, ambtshalve onderzoeken instellen en corrigerende maatregelen en administratieve boetes opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaarlijkse omzet. In België is de GBA bijzonder waakzaam over de conformiteit van verwerkingen door grote platformen en overheidsinstellingen.

Meldingsplicht bij datalekken aan de GBA belge

In België moet elke verwerkingsverantwoordelijke die een inbreuk op persoonsgegevens ontdekt (lek, ongeoorloofde toegang, verlies van gegevens) deze binnen een termijn van 72 uur melden aan de GBA belge als de inbreuk waarschijnlijk een risico inhoudt voor de rechten van de betrokkenen. Als de inbreuk in België waarschijnlijk een hoog risico inhoudt, moet de verwerkingsverantwoordelijke ook de betrokken personen onverwijld informeren. Deze meldingsplicht geldt voor alle organisaties die gegevens verwerken in België, ongeacht hun omvang.

FG en ondernemingsraad in België

In België zijn bepaalde organisaties verplicht een functionaris voor gegevensbescherming (FG) aan te stellen: Belgische overheidsinstanties en publieke organen, en organisaties waarvan de kernactiviteiten regelmatige en stelselmatige grootschalige monitoring van betrokken personen vereisen of de grootschalige verwerking van bijzondere categorieën van gegevens (gezondheidsgegevens, genetische gegevens, enz.). De FG belge moet worden aangemeld bij de GBA en kan een lid van het Belgische personeel of een externe dienstverlener zijn. De Belgische Wet van 30 juli 2018 legt ook specifieke verplichtingen op aan de Belgische ondernemingsraad inzake controle over de verwerking van werknemersgegevens.

Veelgestelde vragen

Klaar om uw Belgische organisatie AVG-conform te maken?

Maak uw register van verwerkingsactiviteiten conform de AVG en de Belgische Wet van 30 juli 2018 in enkele minuten. Gratis, geen account vereist voor de basisversie.

Créer votre Register van Verwerkingsactiviteiten Parcourir tous les modèles

Gratuit · PDF instantané · Aucun compte requis