Aantonen dat je aan de privacywet voldoet: hoe doe je dat ook alweer?
Geplaatst op: 9 juli 2021
Om te beginnen: voldoen aan de privacywet is een continu proces. Oftewel: je bent nooit klaar. Zo moet je voortdurend kunnen uitleggen wat je met persoonsgegevens doet, waarom je dat doet en hoe je ervoor zorgt dat de gegevens die je verwerkt, voldoende beveiligd zijn.
In dat kader vinden wij het belangrijk om de ‘verantwoordingsplicht’ uit de Algemene Verordening Gegevensbescherming (AVG) nog weer eens onder de aandacht te brengen. Deze verplichting houdt in dat je als organisatie moet kunnen aantonen dat je aan alle beginselen en verplichtingen uit de AVG voldoet, maar ook dat je hierover documentatie kunt overhandigen aan de Autoriteit Persoonsgegevens (AP) als daar bij een controle om wordt gevraagd. Maar welke maatregelen kunnen nu onderdeel uitmaken van de verantwoordingsplicht?
Allereerst staan er in de AVG een aantal verplichte maatregelen genoemd. Het is overigens telkens aan de organisatie zelf om te beoordelen of de betreffende maatregelen ook daadwerkelijk op de organisatie, of de verwerkingen die binnen de organisatie plaatsvinden, van toepassing zijn. Deze maatregelen zijn onder andere:
- Het bijhouden van een verwerkingsregister: in dit register staat informatie over de persoonsgegevens die een organisatie verwerkt. Wanneer je verplicht bent om een dergelijk register op te stellen, dan mag je zelf bepalen hoe je dit doet. Wel blijkt uit de AVG welke informatie er minimaal in het register moet worden opgenomen.
- Uitvoeren van een Data Protection Impact Assessment (DPIA): zo kunnen privacy risico’s voorafgaand aan een verwerking in kaart worden gebracht. Ook kan het assessment helpen om (daarna) te bepalen welke maatregelen er genomen moeten worden om de vastgestelde risico’s te verkleinen. Een DPIA is alleen verplicht voor gegevensverwerkingen die waarschijnlijk een hoog privacy risico opleveren voor de mensen van wie een organisatie de gegevens verwerkt. Dit worden ook wel de ‘betrokkenen’ genoemd.
- Registreren van datalekken: een datalek is een ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Een organisatie is wettelijk verplicht om datalekken intern te documenteren. Dit geldt voor ieder datalek, ongeacht of het datalek moet worden gemeld bij de AP en/of de betrokkenen.
- Wel of geen Functionaris voor Gegevensbescherming (FG) aanstellen: sommige organisaties zijn wettelijk verplicht om een FG aan te stellen. Denk hierbij aan overheden en publieke organisaties. Andere organisaties kunnen er vrijwillig voor kiezen. Is het onduidelijk of het aanstellen van een FG verplicht is? Dan moet een organisatie in ieder geval goed kunnen onderbouwen waarom er voor gekozen is om een FG aan te stellen.
- Privacyverklaring: een organisatie moet betrokkenen informeren over wat zij met persoonsgegevens doet en waarom (informatieplicht). Een (online) privacyverklaring is een goede manier om - zowel intern, als extern - aan deze verplichting te voldoen.
Naast de verplichte maatregelen, kun je als organisatie ook extra maatregelen nemen om aan te tonen dat je aan de AVG voldoet. Denk hierbij aan het hanteren van een specifiek ICT-beleid of certificering, zoals de ISO 27001 (een ISO standaard voor informatiebeveiliging).
Verder is het verstandig om een (intern) privacybeleid op te stellen. Daarmee toon je namelijk aan dat je goed hebt nagedacht over de gegevens die je verwerkt en het laat zien dat je daarover transparant communiceert. In het privacybeleid kun je onder andere opnemen:
- hoe je zorgt voor minimale gegevensverwerking;
- hoe uitvoering wordt gegeven aan de rechten van betrokkenen; en
- welke personen binnen de organisatie verantwoordelijk zijn voor de naleving van privacywet- en regelgeving.
Ondanks dat de werkzaamheden die voortvloeien uit de verantwoordingsplicht niet de kernactiviteiten van uw organisatie zijn, is het wel belangrijk hier aandacht aan te besteden. Zo voorkom je er (hoge) boetes mee voor je organisatie, maar je levert ook daadwerkelijk een bijdrage aan de bescherming van de privacy van betrokkenen.
Heb je een vraag over de verantwoordingsplicht of over de AVG in het algemeen? Twijfel dan niet en neem contact met één van onze privacyrecht specialisten op!