Wat is Verantwoordingsplicht / Accountability?

Een regelmatig terugkerend begrip in de AVG / GDPR is ‘accountability’, ofwel de verantwoordingsplicht. Organisaties moeten voortaan zelf kunnen aantonen dat ze voldoen aan de spelregels van de privacywetgeving. Een onderzoek van een derde partij (zoals de Autoriteit Persoonsgegevens) zou daarbij in principe niet nodig hoeven zijn.

Lees meer

Wat is het verschil met de oude situatie?

Onder de Wbp (Wet bescherming persoonsgegevens) hoeven organisaties niet aan te tonen dat ze voldoen aan de privacywetgeving. Die laatstgenoemde instantie controleert simpelweg zelf of een organisatie compliant is. Dat principe gaat met de komst van de AVG / GDPR volledig op de schop.

Hoe kan ik compliance aantonen?

Organisaties moeten kunnen overleggen welke persoonsgegevens zij verwerken en op welke manier dat gebeurt. Daarbij zijn vier aspecten het meest belangrijk:

  1. Rechtmatigheid: gebeurt de verwerking op een manier die in overeenstemming is met de door de privacywetgeving gestelde eisen?
  2. Transparantie: is de organisatie transparant richting de betrokkene over de manier waarop de verwerking plaatsvindt?
  3. Doelbinding: is de verwerking van de persoonsgegevens in lijn met het beoogde doel van die verwerking? Verwerkt de organisatie bijvoorbeeld niet onnodig veel privacygevoelige informatie?
  4. Juistheid: vindt de verwerking van de gegevens op de juiste manier plaats, zoals afgesproken met de betrokkene?

Naast het kunnen overleggen van deze algemene principes, moet je als organisatie kunnen aantonen dat je de nodige technische en organisatorische maatregelen hebt genomen om de privacy van betrokkenen te beschermen.

Met de volgende organisatorische maatregelen kun je voldoen aan de verantwoordingsplicht:

  1. De registratie van verwerkingsactiviteiten in een speciaal hiervoor opgesteld register. Alle verwerkingen moet je registeren in een apart overzicht. Daarin staat beschreven met welk doel en op welke manier persoonsgegevens worden verwerkt.
  2. Het uitvoeren van een Data Protection Impact Assessment (DPIA). Een DPIA is een onderzoek naar de privacyrisico’s van nieuwe diensten en projecten waarbij de privacy van betrokkenen mogelijk gevaar loopt.
  3. Het bijhouden van een register van datalekken die zijn opgetreden. Datalekken moeten niet alleen worden gemeld bij de Autoriteit Persoonsgegevens. Er moet ook een interne registratie van plaatsvinden.
  4. Is voor een verwerking toestemming nodig? Dan moet je kunnen aantonen dat een betrokkene daadwerkelijk die toestemming gegeven heeft.
  5. Is het onduidelijk of het verplicht is in jouw situatie om een Data Protection Officer aan te stellen? Dan moet je goed kunnen onderbouwen waarom je ervoor gekozen hebt om al dan niet een DPO aan te stellen.

Wat zijn de verplichte elementen in een register van verwerkingsactiviteiten?

Een belangrijke manier om compliance aan te tonen, is het register van verwerkingsactiviteiten. De AVG stelt geen concrete eisen aan de opbouw of het uiterlijk van dit register. Wel moet het ten minste een aantal elementen bevatten:

  1. De namen van de organisatie(s) die de persoonsgegevens verwerkt of verwerken. Dat is dus in ieder geval je eigen organisatie, plus eventuele externe verwerkers.
  2. De naam van de Data Protection Officer (DPO), ofwel Functionaris Gegevensbescherming (mits aangesteld/van toepassing)
  3. Een beschrijving van het soort betrokkenen van wie je persoonsgegevens verwerkt. Bijvoorbeeld ‘leerlingen’, ‘klanten’, enzovoorts.
  4. Het doel van de verwerking. Bijvoorbeeld ‘marketing’, het ‘toezenden van een nieuwsbrief’, of het ‘kunnen bezorgen van aangekochte producten’.
  5. Een beschrijving van het soort persoonsgegevens dat verwerkt wordt. Bijvoorbeeld ‘medische data’, of ‘NAW-gegevens’.
  6. De datum waarop je de gegevens moet wissen, dus wanneer het doel van de verwerking vervalt (mits bekend).
  7. Werk je met externe verwerkers? Dan moet je aangeven wat voor soort verwerkers dit zijn. Bijvoorbeeld ‘cloudprovider’ of ‘salarisadministratiekantoor’.
  8. Maak apart melding van eventuele externe verwerkers die zich buiten de EU bevinden.
  9. Een samenvatting van de genomen technische en organisatorische maatregelen om de persoonsgegevens te beschermen tegen privacyinbreuk.

Wat kan ik nog meer doen om compliance aan te tonen?

De Autoriteit Persoonsgegevens spreekt naast de verplichte maatregelen nog van enkele andere vrijwillige maatregelen. Deze zijn niet verplicht door de AVG, maar helpen wel met het aantonen van compliance. Het gaat om de volgende maatregelen:

  • het aansluiten bij een gedragscode;
  • het behalen van een bepaald certificaat;
  • het hanteren van een specifiek ICT-beveiligingsbeleid;
  • het afleggen van verantwoording over de verwerking van persoonsgegevens in uw jaarverslag of in een speciaal privacy-jaarverslag.

Wat is dataminimalisatie?

De AVG / GDPR kent een regelmatig terugkerend begrip: dataminimalisatie. Dit houdt in dat je als organisatie niet meer gegevens mag verzamelen dat strikt noodzakelijk voor het beoogde doel. Of zoals in de wettekst officieel gesproken wordt: Dataminimalisatie houdt in dat bij het verzamelen en verwerken van persoonsgegevens niet meer gegevens mogen worden gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken.

Lees meer
Wat is recht op vergetelheid?

Wat is recht op vergetelheid?

In de AVG / GDPR is in Artikel 17 een belangrijk nieuw recht voor betrokkenen opgenomen: het recht op vergetelheid. Dit geeft betrokkenen het recht op verwijdering van al zijn of haar persoonsgegevens. Dit is een van de manieren waarop de EU haar burgers meer controle en zeggenschap wil geven over hun privacygevoelige data.

Wat is privacy by design?

Wat is privacy by design?

Privacy by design wil zeggen dat je tijdens de ontwikkeling van een product of dienst zo goed mogelijk rekening houdt met de privacy van de gebruiker. In het Nederlands wordt dit principe ook wel aangeduid met ‘Gegevensbescherming door ontwerp en door standaardinstellingen’.

YourSafetynet Q&A (YourSafetynet geeft antwoord)

De ontwikkelingen rondom dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen gaan razendsnel en er worden veel nieuwe termen geïntroduceerd. Onze Q&A geeft inzicht in deze nieuwe terminologieën.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

Inmiddels is de nieuwe privacywetgeving AVG een feit. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

YourSafteynet eBook

Jouw website 100% AVG-proof

De nieuwe Europese privacywetgeving heeft grote gevolgen voor je website. In dit eBook laten we zien hoe je privacy-issues voorkomt en jouw site 100% in lijn brengt met de AVG/GDPR. Eenvoudig en stap-voor-stap.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.