De verantwoordingsplicht geldt voor alle organisaties die structureel persoonsgegevens verwerken (verwerkingsverantwoordelijken). Iedere organisatie met medewerkers voldoet daar in ieder geval al aan! Zij zijn verplicht aan te tonen dat ze de beginselen van de Algemene Verordening Gegevensbescherming (AVG) naleven. De belangrijkste beginselen van verwerking zijn doelbinding, rechtmatigheid, transparantie, en dataminimalisatie. In de AVG worden een aantal verplichte maatregelen opgesomd waarin deze beginselen naar voren komen. Hiermee worden organisaties gedwongen om te registreren hoe zij aan de wet voldoen.
Wanneer u niet direct kunt aantonen (verantwoorden) dat uw verwerkingsactiviteiten in lijn zijn met de privacywetgeving zoals voorgeschreven in de AVG, bent u niet compliant. U voldoet niet aan de verantwoordingsplicht. Het gebrek aan inzicht in uw eigen verwerkingsactiviteiten, bijvoorbeeld door middel van het verwerkingsregister, kan ervoor zorgen dat u betrokkenen niet adequaat kunt voorzien in hun rechten. Denk bijvoorbeeld aan het recht op inzage. Het is lastig om volledig inzage in verwerkte persoonsgegevens te geven als u niet precies weet welke gegevens verwerkt worden of waar ze zijn opgeslagen. Bent u klaar voor een mogelijk verzoek om inzage?
Verplichte maatregelen
De verplichte maatregelen die organisaties moeten treffen om naleving aan te tonen zijn: 1) het opstellen van een register van verwerkingsactiviteiten, 2) het uitvoeren van data protection impact assessments (DPIA’s) voor verwerkingsactiviteiten met een hoog risico, 3) het bijhouden van datalekken in een register, 4) het bijhouden van verkregen toestemmingen voor verwerking en 5) het motiveren van het al dan niet aanstellen van een FG. Heeft u deze maatregelen al getroffen? Lees hieronder een beknopte omschrijving van deze verplichte elementen.
Het register van verwerkingsactiviteiten is een document waarin al uw verwerkingsactiviteiten worden weergegeven. De AVG schrijft een aantal onderdelen voor die in dit document moeten worden behandeld, zoals de rechtsgrondslag voor de verwerking en de bewaartermijn.
Bovendien is het in sommige gevallen verplicht een DPIA uit te voeren, namelijk wanneer uw verwerkingsactiviteit een hoog privacy risico kan opleveren voor de betrokkenen. Een DPIA is feitelijk een onderzoek naar uw verwerkingsactiviteiten, de risico’s die dit oplevert en de maatregelen die u dient te treffen om deze risico’s te ondervangen.
Alhoewel u niet alle datalekken hoeft te melden bij de Autoriteit Persoonsgegevens (AP), bent u wel verplicht alle incidenten vast te leggen in een register.
Als toestemming uw rechtsgrondslag voor gegevensverwerking is, moet u kunnen aantonen hoe u deze toestemming heeft verkregen. De AVG stelt bovendien eisen aan de manier waarop toestemming wordt verkregen. Zo dient u ervoor te zorgen dat de toestemming geïnformeerd en specifiek is verkregen. Een kopie van de informatie die u aan betrokkenen verstrekt is daarom van belang in het aantonen van het verkrijgen van toestemming.
Niet alle organisaties zijn verplicht een Functionaris voor de Gegevensbescherming (FG) aan te stellen. Dit is afhankelijk van een aantal factoren die u als organisatie zelf in overweging kan nemen. Mocht u er van afzien om een FG aan te stellen bent u verplicht een goede onderbouwing voor deze keuze te formuleren. Desalniettemin blijft het advies van de AP om wel een FG aan te stellen en zo privacy tot een vast onderdeel van de organisatie te maken.
Aanvullende maatregelen
U kunt ervoor kiezen extra maatregelen te treffen om aan te tonen dat u voldoet aan de beginselen van de AVG. Hierbij kunt u denken aan het afleggen van een apart privacyjaarverslag of een apart onderdeel over privacy in uw jaarverslag.
Audittrail hecht veel waarde aan het verder helpen van organisaties op het gebied van privacy en informatiebeveiliging. Het in kaart brengen en helpen met managen van risico’s is daar een belangrijk onderdeel van. Weten hoe wij u kunnen helpen in het voldoen aan uw verantwoordingsplicht? Neem dan snel contact op, dan komen we graag langs voor een vrijblijvend kopje koffie met advies.
Bron: Audittrail