Als de Autoriteit Persoonsgegevens (AP) aanklopt, is het aan u om te bewijzen dat uw organisatie voldoet aan alle AVG-regels. Dit wordt ook wel de verantwoordingsplicht genoemd. Uw organisatie heeft de taak om persoonsgegevens zo goed mogelijk te beschermen en dit aantoonbaar te maken. Wat verwacht de AP precies van u?

Allereerst mag duidelijk zijn dat niet iedere organisatie dezelfde verplichtingen heeft binnen de AVG-richtlijnen. De grootte en het type organisatie spelen een rol, evenals het soort persoonsgegevens dat u verwerkt.

Tegelijkertijd moet iedere organisatie zich wel aantoonbaar kunnen verantwoorden voor het voldoen aan de AVG. De Autoriteit Persoonsgegevens controleert steeds meer en deelt daarbij ook forse boetes uit. Zo greep de toezichthouder in 2019 ruim 2.000 keer in naar aanleiding van een privacyklacht of datalek. Daarnaast legde de AP 4 keer een boete op, voor een bedrag van in totaal ruim 2,5 miljoen euro.

Voldoen aan de AVG is dus niet vrijblijvend evenmin als uw verantwoordingsplicht. Hoe voldoet u aan die plicht? Daarvoor is een lijst met verplichte en extra maatregelen in het leven geroepen. Hieronder een overzicht.

Verplichte maatregelen om te voldoen aan de AVG-verantwoordingsplicht

Het is van belang dat een organisatie kan aantonen dat persoonsgegevens verwerkt worden volgens de AVG-richtlijnen. Daarnaast moet een organisatie kunnen laten zien dat de juiste technische en organisatorische maatregelen zijn getroffen om de persoonsgegevens te beveiligen.

Nog niet erg concreet.

Gelukkig zijn er ook 5 verplichte maatregelen die de AVG wel concreet noemt om te voldoen aan de AVG-verantwoordingsplicht.

1. Het bijhouden van een verwerkingsregister

AVG verwerkingsregister

Dit is een overzicht van de verwerkingen van persoonsgegevens die binnen een organisatie plaatsvinden.

Let op!

Dit register is verplicht als uw organisatie meer dan 250 personen in dienst heeft. Heeft u minder werknemers in dienst? Ook dan kan het een verplichting zijn, bijvoorbeeld als u gevoelige persoonsgegevens verwerkt. Kijk op de site van de AP of u verplicht bent een verwerkingsregister bij te houden.

2. Data protection impact assessment (DPIA)

Brengt de verwerking van persoonsgegevens een hoog privacyrisico mee voor de betrokken personen? Dan is een data protection impact assessment (DPIA) verplicht.

Met een DPIA brengt u privacyrisico’s vooraf in kaart, toont u aan waarom de beoogde verwerkingen noodzakelijk zijn en laat u zien welke maatregelen getroffen worden om de risico’s aan te pakken.

Meer weten over een DPIA? In een eerdere blog leest u precies wat een DPIA is en waar het aan moet voldoen.

3. Register van datalekken

Is uw organisatie verwerkingsverantwoordelijke zoals beschreven in de AVG? Dan is een datalekregister verplicht.

In het register worden inbreuken in verband met persoonsgegevens opgenomen. In het register staan zowel de datalekken die gemeld moeten worden, als degenen waarvoor geen meldplicht geldt.

Weten hoe u datalekken goed registreert? In deze blog staat een lijst met 10 praktische tips voor betere registraties van datalekken.

AVG persoonsgegevens verwerken

4. Aantoonbaar toestemming verkrijgen

Voor de verwerking van persoonsgegevens is toestemming vereist. U moet aan kunnen tonen dat u daadwerkelijk toestemming hebt gekregen van een betrokkene.

Die toestemming mag u niet zomaar hebben verkregen. De betrokkene moet deze vrijelijk, ondubbelzinnig, geïnformeerd en specifiek hebben gegeven.

Meer weten over toestemming verkrijgen en vastleggen? Kijk op de website van de AP.

5. Onderbouwing aanstelling Functionaris Gegevensbescherming (FG)

De aanstelling van een FG is in drie gevallen verplicht:

  • in het geval van een overheidsinstantie of publieke organisatie (rechtbanken uitgezonderd);

  • indien de kernactiviteit van de organisatie ziet op stelselmatige observatie op grote schaal van natuurlijke personen; en

  • indien de organisatie op grote schaal bijzondere persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerkt.

Is het u onduidelijk of u verplicht bent om een FG aan te stellen? Zorg dan dat u goed kunt onderbouwen waarom u wel of juist geen FG heeft aangesteld. Deze onderbouwing geldt als verplichte maatregel om te kunnen voldoen aan de verantwoordingsplicht.

Vrijwillige, extra maatregelen om te voldoen aan de AVG-verantwoordingsplicht

AVG maatregelen

Er zijn ook een aantal extra maatregelen die u kunt treffen om te voldoen aan de verantwoordingsplicht. Deze maatregelen kunnen helpen om de AP te overtuigen dat u voldoet aan de eisen van de AVG. De toezichthouder is hier dan ook voorstander van.

Wat kunt u zoal doen?

  • bij een gedragscode aansluiten, zoals de voorlopig goedgekeurde Data Pro Code van NLdigital voor de ICT-sector;

  • een bepaald certificaat behalen;

  • een specifiek ICT-beveiligingsbeleid hanteren;

  • verantwoording afleggen over de verwerking van persoonsgegevens in het jaarverslag.

Meer weten over de AVG-verantwoordingsplicht en hoe u hieraan kunt voldoen?

Onze ervaren ICT-juristen staan voor u klaar. Wij gaan graag vrijblijvend het gesprek met u aan. Bel ons vandaag nog via 010 2290 646 of stuur uw vraag naar contact@legalz.nl.

Blijf op de hoogte!

Op de hoogte blijven van de ontwikkelingen in ICT Recht? Meldt u zich dan aan voor onze maandelijkse nieuwsbrief.