De Algemene Verordening Gegevensbescherming (hierna: AVG) is sinds 25 mei 2018 een feit. Organisaties in Europa, en in sommige gevallen ook daarbuiten[1], moeten bij het verwerken van persoonsgegevens zich aan strengere privacywet- en regelgeving houden. Niet alleen dat, organisaties moeten ook aantoonbaar aan de AVG voldoen,[2] de zogenaamde verantwoordingsplicht[3]. Onderdeel van de verantwoordingsplicht zijn:
- het vastleggen van een verwerkingsregister[4]; en
- het documenteren van datalekken[5].
Verwerkingsregister
Een organisatie zal per verwerkingsactiviteit het volgende moeten registreren:
- de naam en contactgegevens van de verantwoordelijke, eventuele gezamenlijke verwerkingsverantwoordelijken en de Functionaris Gegevensbescherming (de FG);
- de doeleinden voor gegevensverwerking;
- een beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
- de (voorgenomen) categorieën ontvangers;
- een vermelding van een verstrekking van persoonsgegevens aan een derde land of een internationale organisatie;
- de (voorgenomen) bewaartermijnen en
- een algemene beschrijving van de beveiligingsmaatregelen.
Datalekkenregister
Het registreren van datalekken vormt ook een onderdeel van de verantwoordingsplicht. De registratieplicht geldt voor alle datalekken ongeacht of de datalek is gemeld aan de Autoriteit Persoonsgegevens of aan de betrokkenen[6]. Voor het correct vastleggen van een datalek zal een organisatie ten minste het volgende moeten registreren:
- de aard van de inbreuk in verband met persoonsgegevens;
- de categorieën van betrokkenen in kwestie;
- het aantal betrokkenen in kwestie;
- de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
- de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Het aantoonbaar voldoen aan de AVG brengt dus nogal wat administratieve lasten met zich mee.
De volgende vraag luidt dan: op welke wijze kunnen de registers op een efficiënte manier worden vastgelegd en beheerd? Niet onbelangrijk hierbij is dat de Autoriteit Persoonsgegevens (hierna AP) aan de slag is gegaan met het uitvoeren van controles op compliance met de AVG [7].
Wist u dat…
Er handige én gebruiksvriendelijke privacy-tooling bestaat waarmee u uw administratieve lastendruk kan verlichten? Met deze privacy-tooling krijgt u in één oogopslag inzicht in al uw verwerkingen en datalekken waardoor u eenvoudig kan voldoen aan de verantwoordingsplicht en aantoonbaar ‘in control’ bent.
Door: Benjamin Williams
Bronnen
[1] Artikel 3 lid 2 sub a juncto sub b AVG.
[2] Artikel 5 lid 2 AVG.
[3] Er is al eerder een blog gewijd aan het art. 30 AVG register van verwerkingen, zie onze blog ‘De ins en outs van het verwerkingsregister (artikel 30 AVG)’ via https://www.pmpartners.nl/ins-outs-verwerkingsregister/
[4] Artikel 30 lid 1 juncto lid 2 AVG.
[5] Artikel 33 lid 5 AVG.
[6] Lees artikel 33 lid 1 en artikel 34 lid 1 AVG.
[7] https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-start-onderzoek-naar-naleving-privacyregels-door-private-sectoren