Wat is dat? Verantwoordingsplicht...

Bron: Autoriteit Persoonsgegevens

De Algemene Verordening Gegevensbescherming legt meer verantwoordelijkheid bij jou als organisatie om aan te tonen dat je aan de privacyregels voldoet. Door te voldoen aan jouw verantwoordingsplicht lever je een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

De nieuwe regels dwingen je om goed na te denken over hoe jouw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat je moet kunnen aantonen dat jouw verwerkingen aan de regels van de AVG voldoen.

Je moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:

  • rechtmatigheid;
  • transparantie;
  • doelbinding;
  • juistheid.

Ook moet je kunnen aantonen dat je de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen. 

Je bent verplicht verantwoording af te leggen over jouw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Zorg daarom dat je aan jouw verantwoordingsplicht voldoet vanaf die belangrijke 25 mei van dit jaar. 

Verplichte maatregelen

De verplichte maatregelen die de AVG concreet noemt zijn:

  • het bijhouden van een register van verwerkingsactiviteiten; 
  • het uitvoeren van een data protection impact assessment (DPIA) voor gegevensverwerkingen met een hoog privacyrisico;
  • het bijhouden van een register van datalekken die zijn opgetreden;
  • het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer je voor een verwerking toestemming nodig hebt.
  • wanneer onduidelijk is of je verplicht bent om een Functionaris voor gegevensbescherming aan te stellen, moet je goed kunnen onderbouwen waarom je ervoor gekozen hebt om al dan niet een Functionaris voor gegevensbescherming aan te stellen.

Extra maatregelen

Naast de verplichte maatregelen kun je ervoor kiezen om extra maatregelen te nemen. Bijvoorbeeld:

  • het aansluiten bij een gedragscode;
  • het behalen van een bepaald certificaat;
  • het hanteren van een specifiek ICT-beveiligingsbeleid;
  • het afleggen van verantwoording over de verwerking van persoonsgegevens in uw jaarverslag of in een speciaal privacy-jaarverslag.

Hoewel deze maatregelen niet verplicht zijn, helpen zij je wel om aan de toezichthouder te laten zien dat je voldoet aan de eisen van de AVG.