Home
Privacyrecht
Verplichtingen bij verwerken persoonsgegevens

Verplichtingen bij verwerken persoonsgegevens

Met het oog op ‘voorkomen is beter dan genezen’ voorziet de AVG ook in strenge (voorzorgs)maatregelen, die voor enkele organisaties zelfs verplicht zijn. De AVG regelt onder meer de aanstelling van een functionaris gegevensbescherming, het opstellen van een verwerkingsregister en het registreren van datalekken. Daarnaast moet bij elke ontwikkeling of innovatie de privacy afgewogen worden. Al deze acties gezamenlijk wordt ook wel de ‘implementatie’ van de AVG genoemd. Correcte implementatie door een advocaat kan mogelijk boetes van de Autoriteit Persoonsgegevens voorkomen.

Direct contact opnemen
Najama-Yasar-Doetinchem

Is een functionaris gegevensbescherming verplicht?

Het kan voorkomen dat jouw organisatie verplicht is om een functionaris gegevensbescherming (ook wel ‘FG’ genoemd) te benoemen. Een FG houdt het beleid met betrekking tot de verwerking van persoonsgegevens in de gaten. Overheden zijn verplicht een FG aan te stellen. Organisaties die bijzondere persoonsgegevens verwerken, zoals zorginstellingen en ziekenhuizen, zijn net als de overheid verplicht om een FG aan te stellen. Daarnaast zijn organisaties die grote aantallen persoonsgegevens verwerken, bijvoorbeeld telecommaatschappijen, ook verplicht tot het aanstellen van een FG, ook al zijn de persoonsgegevens die zij verwerken niet per se gevoelig of bijzonder.

De FG is ook het aanspreekpunt voor betrokkenen die hun rechten uitoefenen. De FG handelt als onafhankelijk adviseur van de onderneming, vergelijkbaar met een ondernemingsraad en is ook contactpersoon voor de Autoriteit Persoonsgegevens.

Wat moet verplicht worden bijgehouden?

De AVG verplicht organisaties om voor bewustwording over privacy bij hun werknemers te zorgen. Verlangd wordt dat medewerkers op de hoogte zijn van de privacyregels en de rechten die betrokkenen hebben. Dit kan vaak klassikaal of via een e-learning, maar in sommige gevallen zien medewerkers meer gevoelige gegevens. De privacykennis van de werknemer moet dan ook groter zijn.

Een andere maatregel is de invoering van de documentatieplicht en verantwoordingsplicht. Organisaties met in beginsel meer dan 250 werknemers zijn verplicht een register bij te houden waarin zij alle verwerkingen en soorten persoonsgegevens opnemen. Verwerkt jouw organisatie structureel ook bijzondere gegevens, hier kom je al snel aan zodra je werknemers in dienst hebt, dan geldt de verplichting tot het bijhouden van een register ook voor jou. Ook moeten de getroffen beveiligingsmaatregelen, bewaartermijnen en subbewerkers hierin worden opgenomen. Zo heeft de organisatie in één document of systeem een overzicht van de persoonsgegevens binnen de organisatie, waarom deze worden verwerkt en hoe daarmee omgegaan wordt.

Verder verdient het aanbeveling een gegevensbeschermingsbeleid op te stellen. Dit kan een organisatie op de website plaatsen, of intern beschikbaar stellen. Zo kunnen klanten, consumenten, leveranciers en ook werknemers zien hoe de organisatie met persoonsgegevens omgaat.

DPIA en beveiligingsverplichtingen

Vanuit de AVG is een organisatie verplicht om bij het ontwerp na te denken over de beginselen van privacy by design en privacy by default. De bedoeling van privacy by design is om bij de opstartfase van een nieuw product, proces of innovatie al de gevolgen op het gebied van privacy mee te nemen. Dit kan door het uitvoeren van een Data Protection Impact Assessment (DPIA), waardoor voorafgaand de privacyrisico’s in kaart worden gebracht. Op grond van deze uiteenzetting kunnen maatregelen getroffen worden om de risico’s te verkleinen.

Het is dan ook verstandig om, voordat je jouw product lanceert, deze al privacyvriendelijk in te richten en een DPIA af te nemen. De producten worden dan aangeboden op grond van beginselen van privacy by design dan wel privacy by default.

Naast voormelde maatregelen verlangt de AVG van ondernemers dat zij technische en organisatorische maatregelen treffen om de persoonsgegevens te beschermen. Het is dan ook van belang regelmatig de digitale beveiliging kritisch tegen het licht te houden, want dit maakt de kans op beveiligingsincidenten die een meldingswaardig datalek opleveren kleiner. Ga dan ook in overleg met de ICT-afdeling en onderzoek of op het gebied van beveiliging nog stappen te maken zijn.

Veelgestelde vragen

Leonie Ouwersloot-Koster
Wij staan voor je klaar

Hulp nodig bij de implementatie?

Wij kunnen adviseren over de toepasbaarheid van de verplichtingen en bij de eventuele implementatie. Schroom niet om ons te contacteren.

Neem contact op

Direct contact opnemen

Heb je een vraag of wil je dat één van onze collega’s contact met je opneemt? Via het onderstaand formulier kun je ons een bericht sturen.