Verantwoordingsplicht - Hoe zorg ik er voor dat mijn organisatie aan de AVG blijft voldoen?

Voeg toe aan Mijn interesses

29 mei '19

Auteur(s): Anamika Wilbrink,

Nu de Algemene verordening gegevensbescherming (AVG) al een jaar van toepassing is, is het goed om te controleren of uw organisatie (nog steeds) aan de vereisten van de AVG voldoet. De Autoriteit Persoonsgegevens (AP) gaf eerder dit jaar een zestal aanbevelingen om te voldoen aan de verantwoordingsplicht (het principe van ‘accountability’). Sinds de AVG dient iedere organisatie namelijk te voldoen aan die verantwoordingsplicht. Onder de verantwoordingsplicht valt bijvoorbeeld het aanleggen (en bijhouden) van een verwerkings- en datalekkenregister, het uitvoeren van data protection impact assessments, het bewaren van toestemming gegeven door de betrokkene en het aanstellen van een Functionaris Gegevensbescherming (FG). Om aan de verantwoordingsplicht te (blijven) voldoen kan uw organisatie een gegevensbeschermingsbeleid opstellen. Maar wat moet er nu precies in zo’n gegevensbeschermingsbeleid staan? En is dat weer wat anders dan de privacyverklaring? Hierna vindt u meer informatie over het gegevensbeschermingsbeleid, het verschil met een privacyverklaring en tips om uw gegevensbeschermingsbeleid op orde te houden.

Wat is een gegevensbeschermingsbeleid?

Het gegevensbeschermingsbeleid is een beleidsdocument waarin de verwerkingsverantwoordelijke technische en organisatorische maatregelen heeft neergelegd om de rechten van betrokkenen te waarborgen. Een gegevensbeschermingsbeleid is hetzelfde als een privacybeleid, maar niet hetzelfde als een privacyverklaring of privacystatement. Met dit beleidsdocument kunt u laten zien aan de AP dat uw organisatie voldoet aan de verantwoordingsplicht, mits goed opgesteld en uitgevoerd. Organisaties die verplicht zijn om een FG aan te stellen, dienen een gegevensbeschermingsbeleid op te stellen. Verder is het afhankelijk van de aard en de omvang van de verwerkingen van uw organisatie of u verplicht bent om een gegevensbeschermingsbeleid op te stellen. Het kan echter voor elke organisatie nuttig zijn. Met dit beleidsdocument brengt u namelijk alle verwerkingen binnen uw organisatie in kaart en heeft u goed overzicht waar waarborgen of extra maatregelen getroffen kunnen worden.

Wat moet er in mijn gegevensbeschermingsbeleid staan?

Een voordeel van het gegevensbeschermingsbeleid is dat alle privacy gerelateerde zaken in één document zijn vastgelegd. Zorg er voor dat de volgende onderdelen niet ontbreken:
  • Een omschrijving van de categorieën persoonsgegevens die worden verwerkt;
  • De doeleinden waarvoor u de persoonsgegevens verwerkt;
  • De getroffen maatregelen (waaronder technische en organisatorische maatregelen) om de gegevens te beschermen;
  • (Een link naar) uw verwerkingsregister (uw databoekhouding);
  • Hoe uw organisatie voldoet aan de beginselen van verwerking van persoonsgegevens zoals die in de AVG staan vermeld;
  • Bewaartermijnen van de verschillende categorieën persoonsgegevens;
  • Protocol meldplicht datalekken incl. een register waarin de datalekken worden bijgehouden;
  • De rechten die betrokkenen kunnen uitvoeren en hoe zij dat kunnen doen.
Wellicht heeft uw organisatie al het een en ander van deze informatie hebben vastgelegd, bijvoorbeeld in een informatiebeveiligingsbeleid, een dataretentiebeleid, een protocol meldplicht datalekken, enz. Het gegevensbeschermingsbeleid kan in dat geval een overzicht geven hoe deze documenten met elkaar samenhangen, als een soort handleiding.

Verschil gegevensbeschermingsbeleid en privacyverklaring

Het verschil tussen het gegevensbeschermingsbeleid en de privacyverklaring is het doel waarvoor beide documenten gebruikt worden. Met het gegevensbeschermingsbeleid voldoet uw organisatie aan haar verantwoordingsplicht. Met de privacyverklaring voldoet uw organisatie aan de transparantieplicht (ook wel informatieplicht). Meer informatie over de informatieplicht vindt u in een eerder bericht hier.

Tips voor een optimaal gegevensbeschermingsbeleid

  • Wees concreet: maak de vertaalslag van papier naar de praktijk. Zorg dat de juiste collega’s/adviseurs weten wat zij moeten doen in geval van bijvoorbeeld een datalek.
  • Publiceer uw gegevensbeschermingsbeleid (deels) online. Zo is het voor betrokkenen duidelijk voor welk doel en hoe hun persoonsgegevens verwerkt worden. Let op dat u geen procedures omtrent de beveiliging deelt.
  • Controleer periodiek bij de business of managementlagen of de organisatie onlangs is gestart of gestopt met bepaalde verwerkingen. Pas het gegevensbeschermingsbeleid van uw organisatie daar op aan. Onderstaand schema geeft u inzicht of uw gegevensbeschermingsbeleid op orde is, dan komt de informatie in alle drie de kaders namelijk met elkaar overeen. Zorg ervoor dat deze wisselwerking gesloten blijft en er geen losse eindjes ontstaan.

Contact

Advocaat

Anamika Wilbrink

Expertises:  Aanbestedingsrecht,IT-recht,Privacyrecht, Technologie, media en telecom, Privacy en compliance,E-health,

+31 6 1285 7580 a.wilbrink@ploum.nl LinkedIn

Deel dit artikel

Reageer op dit artikel

Wilt u reageren op dit artikel? Inloggen of maak een Mijn Ploum account aan om uw reactie te plaatsen


Stel direct een vraag

Inschrijven nieuwsbrief

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoonlijke gegevens gebruiken, kunt u lezen in ons Privacy statement. U kunt uw voorkeuren altijd wijzigen via de link ‘Wijzig uw gegevens' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses
  • Snel inschrijven voor kennisevents en Ploum Academy
  • Vraag en antwoord mogelijkheden gebruiken bij artikelen

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

Snel inschrijven voor kennisevents en Ploum Academy

Reacties op artikelen plaatsen


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.