Verwerkingsverantwoordelijke is verantwoordelijk

Verwerkingsverantwoordelijke is verantwoordelijk

Ga je persoonsgegevens verwerken, dan zijn er een aantal beginselen waar je rekening mee dient te houden. Deze beginselen zijn opgenomen in artikel 5 lid 1 van de Algemene verordening gegevensbescherming (AVG). Inmiddels zijn we hier allemaal wel bekend mee. Dit artikel kent echter ook een tweede lid dat minder bekendheid geniet. Waar dit lid op ziet, dat lees je in deze blog.

Verantwoordingsplicht

In de AVG staan zes basisbeginselen waaraan elke gegevensverwerking moet voldoen:

  1. Rechtmatigheid, behoorlijkheid en transparantie
  2. Doelbinding
  3. Dataminimalisatie
  4. Juistheid
  5. Opslagbeperking
  6. Integriteit en vertrouwelijkheid

Als verwerkingsverantwoordelijke dien je je aan bovenstaande beginselen te houden bij de verwerking van persoonsgegevens. Maar alleen voldoen aan deze beginselen is niet genoeg. Als verwerkingsverantwoordelijke moet je namelijk tevens kunnen aantonen dat je aan deze beginselen voldoet. Dit wordt ook wel de verantwoordingsplicht genoemd. Maar hoe zorg je er als organisatie voor dat je, wanneer de Autoriteit Persoonsgegevens op de stoep staat, kunt aantonen dat je aan de AVG voldoet?

Welke zaken moet je in ieder geval op orde hebben?

De AVG noemt een aantal zaken die je als verwerkingsverantwoordelijke in ieder geval op orde dient te hebben om aan je verantwoordingsplicht te voldoen. Hieronder valt het:

  • Bijhouden van een verwerkingsregister
  • Bijhouden van een datalekkenregister
  • Kunnen aantonen van verkregen toestemming
  • Kunnen onderbouwen waarom er wel of niet gekozen is voor het aanstellen van een functionaris gegevensbescherming (FG)
  • Uitvoeren van een data protection impact assessment (DPIA), wanneer een gegevensverwerking een hoog privacyrisico met zich meebrengt

Wat kan je verder nog doen?

Naast de verplichte zaken, kan een organisatie een aantal extra maatregelen treffen om aan de verantwoordingsplicht te voldoen. Te denken valt aan het:

  • Aansluiten bij een gedragscode
  • Aansluiten bij een goedgekeurd certificeringsmechanisme
  • Hanteren van een intern privacybeleid
  • Hanteren van een beveiligingsbeleid
  • Hanteren van een bewaartermijnenbeleid
  • Hanteren van een datalekkenprocedure

Tot slot

Heb je in ieder geval de verplichte onderdelen op orde en misschien wel meer, dan ben je er bijna, maar nog niet helemaal. Alleen het hebben van deze documenten is namelijk niet voldoende. Zorg er daarnaast voor dat deze documenten in de dagelijkse praktijk van jouw organisatie worden nageleefd. Dit kun je bijvoorbeeld bereiken door de documenten op een makkelijk vindbare plek beschikbaar te stellen, (nieuwe) medewerkers op deze vindplek te wijzen en bewustwording binnen de organisatie te creëren middels privacy trainingen.

Gerelateerde blogs