Verantwoordingsplicht vanuit de AVG

De Algemene Verordening Gegevensbescherming (AVG) legt meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.
De nieuwe regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt.

Wat houdt de verantwoordingsplicht in?
De verantwoordingsplicht houdt in dat u aan moet kunnen tonen dat uw verwerkingen aan de regels van de AVG voldoen. U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:

• Rechtmatigheid
• Transparantie
• Doelbinding
• Juistheid

Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen.
U bent verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Zorg daarom dat u aan uw verantwoordingsplicht voldoet vanaf 25 mei 2018.

Wat moet u doen?
Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt, met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt. Dit noemt men een verwerkingsregister. Het bijhouden van een verwerkingsregister is onderdeel van de verantwoordingsplicht. U kunt het verwerkingsregister ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen moet u dit doorgeven aan de organisaties waarmee u de desbetreffende gegevens heeft gedeeld.

Wat moet er in het verwerkingsregister staan?
Het verwerkingsregister bevat informatie over de persoonsgegevens die u verwerkt. U mag zelf weten hoe u het register opstelt. Wel schrijft de AVG voor welke informatie u als verantwoordelijke of verwerker in het register moet zetten. Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet u het register direct kunnen laten zien.

Bent u verwerkingsverantwoordelijke? Dan moet u de volgende informatie in het register opnemen:

• De naam en contactgegevens van:
  * Uw organisatie, of de vertegenwoordiger van uw organisatie.
  * Eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld.
  * De Functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld.
  * Eventuele andere internationale organisaties waar u persoonsgegevens mee deelt.
• De doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of directe marketing.
• Een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten.
• Een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen.
• De datum waarop u de gegevens moet wissen (als dat bekend is).
• De categorieën van ontvangers aan wie u persoonsgegevens verstrekt.
• Deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het register.
• Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om persoonsgegevens die u verwerkt te beveiligen.

​Heeft u als kantoor vragen over privacy en de impact voor uw kantoor dan kan Ophrys u hier uiteraard volledig over informeren en daar waar nodig voor u implementeren binnen uw onderneming. Wilt u weten wat Ophrys voor u kan betekenen? Neem dan contact op met ons kantoor op telefoonnummer 0492-344988 of via het contactformulier.

Bron: Autoriteit Persoonsgegevens