AVG Verantwoordingsplicht

De verantwoordingsplicht is de plicht van elke onderneming en organisatie om aan te tonen dat ze aan de Algemene Verordening Gegevensbescherming (privacywet) voldoen. Maar hoe ziet die verantwoordingsplicht er dan uit? Dit kan onder meer met een privacybeleid of ‘gegevensbeschermingsbeleid’, maar dat is niet voor elke organisatie verplicht. Hoe kan of moet het dan wel?

De verantwoordingsplicht uit de AVG is de verplichting van organisaties om aan te kunnen tonen dat ze aan de AVG te voldoen, door daar documentatie van te kunnen overleggen aan de Autoriteit Persoonsgegevens.

De wet, en wat de AP ervan vindt

Helaas is het wel vaker zo dat de Autoriteit Persoonsgegevens (AP) anders naar de Algemene Verordening Gegegevensbescherming (AVG) kijkt dan privacyjuristen dat doen. Als je het aan de AP vraagt, zou je bijna alleen maar de grondslag toestemming mogen gebruiken. Dat is in veel gevallen niet nodig en al helemaal niet gunstig.

Zo is het ook een beetje met deze verantwoordingsplicht. Sommige organisaties, afhankelijk van het soort en de hoeveelheid persoonsgegevens die worden verwerkt, zijn verplicht om een privacybeleid te hebben. Dit is een intern beleid dat ook wel gegevensverschermingsbeleid wordt genoemd. De AP heeft na controle van dit privacybeleid bij verschillende organisaties zes aanbevelingen gedaan.

Die aanbevelingen zijn wel wat bijzonder. Zo vindt de AP dat alles in één document zou moeten staan. Dat zou betekenen dat je de privacyverklaring, het verwerkingsregister en alle verwerkersovereenkomsten zou moeten kopiëren naar het privacybeleid. Zolang maar duidelijk is waar alles te vinden is en je het privacybeleid als uitgangspunt gebruikt waar de rest omheen hangt, dan is dat natuurlijk ook voldoende.

Daarnaast beveelt de AP aan om het privacybeleid te publiceren. Tsja, AP, we zijn toch zeker gekke Henkie niet? In dat beleid staat namelijk ook hoe de beveiliging van de gegevens exact in elkaar zit en wie waarvoor verantwoordelijk is. We gaan de hackers en andere mensen die op persoonsgegevens azen toch zeker geen gebruiksaanwijzing geven hoe ze die kunnen jatten? Bovendien is daar meteen de beveiliging weer niet mee op orde, dus hoe kun je dan nog aan je verplichte beveilingsmaatregelen voldoen. Lekker tegenstrijdig, AP.

Wat is de verantwoordingsplicht?

De verantwoordingsplicht is de verplichting van een organisatie om aan te tonen dat aan alle beginselen van de AVG (artikel 5) wordt voldaan. Daar horen ook een aantal administratieve verplichtingen en documenten bij. Wanneer de Autoriteit Persoonsgegevens komt controleren, moet een organisatie die documentatie aan de Autoriteit Persoonsgegevens overhandigen. Daarmee kan aangetoond worden dat de organisatie aan alle beginselen en verplichtingen uit de AVG voldoet.

Onder meer de volgende zaken maken onderdeel uit van de verantwoordingsplicht:

  • Hoe aan de beginselen wordt voldaan kan worden vastgelegd in een privacybeleid (arts. 5 en 24 AVG)
  • Aantonen dat betrokkene toestemming heeft gegeven (art. 7 lid 1 AVG)
  • Informatieverplichting naar betrokkenen, meestal geregeld in een of meerdere privacyverklaringen (arts. 12 – 14 AVG)
  • Verwerkersovereenkomsten (art. 28 lid 3 AVG) of onderlinge regeling tussen gezamenlijk verwerkersverantwoordelijken (art. 26 AVG)
  • Register van verwerkingsactiviteiten (art. 30 AVG)
  • Register van datalekken (art. 33 AVG)
  • Wanneer nodig, of een PIA is uitgevoerd en wat de uitkomst was (art. 35 AVG)

Schrijf op hoe je met privacy omgaat

Om te kunnen laten zien dat je voldoet aan alle beginselen, is het handig daarover beleid op papier te zetten. Hoe wil je anders bij een controle van de Autoriteit Persoonsgegevens kunnen aantonen dat je aan de beginselen voldoet. Denk daarbij aan:

  • uitleg hoe je zorgt voor minimale gegevensverwerking
  • welke maatregelen je treft om ervoor te zorgen dat gegevens juist en actueel zijn
  • hoe je de duur van de opslag van persoonsgegevens bepaalt en hoe je zorgt voor verwijdering ervan
  • een beveiligingsbeleid met technische en organisatorische maatregelen
  • een overzicht van welke personen waarvoor verantwoordelijk zijn en hoe ervoor gezorgd wordt dat het beleid wordt nageleefd.
  • uitleg hoe uitvoering wordt gegeven aan de rechten van betrokkenen

Hulp nodig bij het voldoen aan al deze verplichtingen? We helpen graag!

Leuke dingen voor je mailbox

About Charlotte Meindersma

Charlotte Meindersma is 'de social media jurist van Nederland' en oprichter van Charlotte's Law & Fine Prints.
Ze drinkt graag oploskoffie, in de spreekwoordelijke zin van het woord. Bovendien is ze amateur-marketer en was ze in een vorig leven fotograaf.

Speak Your Mind

*