Dossier GDPR/AVG
Deel 3: Aan welke plichten moeten verwerkingsverantwoordelijke organisaties voldoen?
Dossier GDPR/AVG

GDPR/AVG deel 3: plichten van de verantwoordelijke

Ook de plichten van (verwerkings)verantwoordelijke organisaties worden flink strenger als in mei 2018 de nieuwe Europese privacywet ingaat. Omdat uw en onze dagelijkse werkzaamheden voor een groot deel bestaan uit het verwerken van persoonsgegevens, bereiden we ons goed voor op de invoering. Het is complexe materie, zelfs voor mensen die bekend zijn met het onderwerp. In dit blog beschrijven we wat de verantwoordingsplicht inhoudt en aan welke zaken u moet voldoen.

De informatie in deze blogserie is geschreven om onze klanten te informeren over de aanstaande wijzigingen. Heeft u specifieke vragen, maar bent u geen klant van Logic4, dan adviseren wij u om de officiële website van de Autoriteit Persoonsgegevens te bezoeken en contact op te nemen met uw eigen softwareleverancier.

Wat is een verantwoordelijke?
De verwerkingsverantwoordelijke is de eigenaar van de data. In dit geval is dat uw organisatie als u klant bent van Logic4. U bent ervoor verantwoordelijk dat de persoonsgegevens nauwkeurig, correct en legaal zijn, en dat u kunt voldoen aan de rechten van de betrokkene.

Verantwoordingsplicht

De AVG legt een grotere verantwoordelijkheid bij organisaties neer. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de wet te voldoen. Hieronder vallen de volgende zaken:

Register van verwerkingsactiviteiten

Als uw organisatie regelmatig persoonsgegevens verwerkt (dat doet eigenlijk iedere organisatie), meer dan 250 medewerkers heeft, of bijzondere / hoog risico persoonsgegevens verwerkt, dan bent u verplicht om een intern register bij te houden. Deze moet u op aanvraag van de Autoriteit Persoonsgegevens kunnen laten zien. In het register van verwerkingsactiviteiten moet het volgende staan:

  1. Naam en contactgegevens van uw organisatie;
  2. Naam en contactgegevens van organisaties met wie u de persoonsgegevens deelt.
  3. Op basis van welke grondslag(en) gegevens verwerkt worden;
  4. Doelen van de verwerking, zoals het leveren van producten of direct marketing.
  5. Categorieën personen van wie u gegevens verwerkt, zoals klanten, potentiële klanten, partners, etc.
  6. Categorieën persoonsgegevens die u verwerkt, zoals NAW gegevens en e-mailadressen;
  7. Eventuele bijzondere persoonsgegevens, zoals informatie over gezondheid, geloof en seksuele voorkeur;
  8. Algemene beschrijving van technische en organisatorische maatregelen ter beveiliging van de persoonsgegevens.

Aantonen toestemming

Als u persoonsgegevens verwerkt op basis van de grondslag ‘toestemming van de betrokkene’, dan moet u kunnen aantonen dat u die toestemming daadwerkelijk heeft. Daarnaast moet u vastleggen welke informatie u de betrokkene heeft gegeven voordat hij toestemming gaf en op welke manier u de toestemming verkrijgt en registreert.

Meldplicht datalekken

Zodra organisaties een datalek hebben, moeten zij direct een melding doen bij de Autoriteit Persoonsgegevens. In een aantal gevallen moeten ook de betrokkenen op de hoogte gesteld worden. Dit was al zo onder de Wbp en blijft grotendeels hetzelfde onder de AVG. Het was zo dat alleen datalekken gemeld moesten worden die een aanzienlijke kans hebben op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Straks moeten alle datalekken gemeld worden bij de AP.

DPIA en FG

Organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen of bijzondere persoonsgegevens van individuen verwerken, zijn verplicht om vóórdat de nieuwe wet ingaat een Data Protection Impact Assessment (DPIA) uit te voeren en een Functionaris Gegevensbescherming (FG) aan te stellen. Dit geldt met name voor overheden en publieke organisaties, niet direct voor handelsorganisaties. Daarom zullen we hier nu niet verder op ingaan, maar op de website van de Autoriteit Persoonsgegevens kunt u meer lezen over DPIA en FG.

Gegevensbeschermingsbeleid

Sommige organisaties zijn verplicht om een gegevensbeschermingsbeleid op te stellen, ook wel privacybeleid genoemd. Dit is wat anders dan een privacyverklaring! Of uw organisatie verplicht is om een gegevensbeschermingsbeleid te hebben, hangt af van de aard, omvang, context en het doel van de gegevensverwerking. Helaas vertelt de AVG niet specifieker wanneer deze eis wel en niet geldt.

Lees binnenkort in deel 4 wat Logic4 als verwerker doet om aan de nieuwe AVG wetgeving te voldoen.

N.B.: Wij hebben ons best gedaan om ons zo goed mogelijk te verdiepen in de nieuwe wetgeving en de regels zo helder mogelijk aan u uit te leggen. Desondanks kan het zijn dat er onverhoopt toch onjuiste of onvolledige informatie in dit artikel is geslopen. Ziet u iets dat niet klopt of niet duidelijk is? Laat het ons weten!

Gerelateerde blogs
9
jan
GDPR/AVG deel 4: Logic4 als verwerker
7
dec
GDPR/AVG deel 2: rechten van de betrokkene
30
nov
GDPR/AVG deel 1: over persoonsgegevens
17
aug
SSL certificaat onmisbaar voor webshops
25
okt
Wasstraat voor DDoS-aanvallen op webshops
Nieuwsbrief

Blijf altijd op de hoogte van ons laatste nieuws!

Alle blogs over de GDPR/AVG
Zoek door onze site