AVG: zo legt u verantwoording af

Onder de huidige Wet bescherming persoonsgegevens (Wbp) moet u verwerkingen van persoonsgegevens in veel gevallen melden bij de Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) maakt resoluut een einde aan deze praktijk. Vanaf 25 mei 2018 moet u verwerkingen eigenhandig documenteren en zelf compliance aantonen. Geen eenvoudige opgave.

‘Accountability’ is het toverwoord in de ‘General Data Protection Regulation’ (GDPR), zoals de Europese privacywetgeving in het Engels heet. Meer dan nu het geval is, moeten organisaties zelf aantonen dat ze zich aan de wet houden. Deze ‘verantwoordingsplicht’ komt al in artikel 5 van de AVG naar voren, waarmee het principe van accountability een belangrijke plaats heeft gekregen in de nieuwe privacywet.

Brede verplichting

Het principe van accountability gaat veel verder dan het bijhouden van gegevensverwerkingen. Met documenten moet u laten zien dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen en hoe u die maatregelen heeft geïmplementeerd.

Kiest u in bepaalde gevallen bijvoorbeeld niet voor encryptie of pseudonimisering? Dan moet uit de documentatie duidelijk naar voren komen waarom niet. Heeft een betrokkene vragen over bepaalde verwerkingen? Dan dient u die keuzes in heldere en begrijpelijke taal toe te kunnen lichten.

Gedegen voorbereiding

Accountability vergt een gedegen voorbereiding. Deze stappen helpen u bij het afleggen van verantwoording:

1. Breng het ‘register van gegevensverwerkingen’ op orde

Data kunt u pas beschermen als u weet waar ze zijn. Ga na of de bestaande verwerkingen van persoonsgegevens zijn gedocumenteerd, en of die documentatie voldoet. Hanteer dezelfde aanpak ook voor toekomstige verwerkingen. Dit bent u op basis van artikel 30 van de AVG ook verplicht en is een absolute voorwaarde om te kunnen voldoen aan de verantwoordingsplicht.

2. Voer Data Protection Impact Assessments uit

Hiermee brengt u de risico’s van de verwerking van persoonsgegevens goed in kaart. Ook bij de ontwikkeling van een nieuw systeem of applicatie moet bij iedere wijziging een DPIA worden uitgevoerd. Begin april heeft de Artikel 29-werkgroep, een onafhankelijk Europees adviesorgaan op het gebied van privacy, richtlijnen voor de DPIA gepubliceerd. Hierin staat wanneer u een DPIA moet uitvoeren en waaraan die moet voldoen.

3. Evalueer bestaande verwerkersovereenkomsten

Volgens de AVG zijn alle partijen verantwoordelijk voor de bescherming van persoonsgegevens, dus zowel de organisatie die de persoonsgegevens verzamelt als de ‘externe verwerker’. De contracten met afnemers en verwerkers dient u dus goed tegen het licht te houden. Is bijvoorbeeld duidelijk hoe de verwerker omgaat met persoonsgegevens?

4. Documenteer uw processen

In het geval van bijvoorbeeld een datalek is het zaak dat de organisatie adequaat reageert, zodat de omvang van het lek beperkt blijft. De processen hiervoor moeten duidelijk zijn. Ook moeten de procedures voor het melden van een datalek bij de Autoriteit Persoonsgegevens helder zijn. Het is raadzaam alle procedures regelmatig te oefenen en evalueren en eventuele wijzigingen goed te documenteren.

5. Stel een Data Protection Officer (DPO) aan

Bijvoorbeeld organisaties die op grote schaal bijzondere persoonsgegevens verwerken, zijn verplicht om een ‘functionaris voor de gegevensbescherming’ aan te stellen. Maar ook als die verplichting er niet is, kan het raadzaam zijn om een DPO te benoemen. Volgens de Artikel 29-werkgroep is de DPO ‘a cornerstone of accountability’ en kan het aanwijzen daarvan compliance bevorderen.

Verantwoordelijkheid nemen

Een organisatie moet de verantwoordelijkheid nemen en ook echt willen voldoen aan de wettelijke regels. Voldoet een organisatie niet aan deze verantwoordingsplicht, dan kan dat verstrekkende gevolgen hebben. Zo staat op het niet accountable zijn een maximale boete van 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Ook bestaat het risico dat een slachtoffer van een datalek de schade op u verhaalt. Als u dan uw papieren niet op orde heeft, staat u al met 1-0 achter.

Meer weten over uw accountability onder de AVG? Lees dan onze whitepaper.

Whitepaper: 'Bescherm de privacy van uw klanten'

Wilt u weten hoe u persoonsgegevens adequaat beveiligt en miljoenboetes voorkomt? Lees dan het whitepaper.

Download

Bekijk ook onze andere blogs over de AVG:

De nieuwe privacywetgeving: kent u alle spelregels?
Hoe pijnlijk is het niet naleven van de AVG?
Zijn uw data al privacyproof?

Gerelateerde artikelen