020 530 0160

Accountability en de documentatieplicht in de nieuwe Europese Privacyverordening

Gepubliceerd op 8 november 2017 categorieën 

Als de algemene verordening gegevensbescherming (hierna: “Verordening”) van toepassing is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de Verordening meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability).

Wat betekent de documentatieplicht?

Organisaties hebben daarom een documentatieplicht. In een notendop houdt dit in dat organisaties met documenten moeten kunnen aantonen dat zij passende en doeltreffende organisatorische en technische maatregelen ten uitvoer hebben gelegd om gevolg te kunnen geven aan de beginselen en verplichtingen uit de Verordening.  Om de naleving van deze Verordening aan te kunnen tonen, dienen organisaties, zowel verantwoordelijken als bewerkers, een register bij te houden van verwerkingsactiviteiten die onder diens verantwoordelijkheid hebben plaatsgevonden.  Elke organisatie dient medewerking te verlenen aan de toezichthoudende autoriteit en dit register desgevraagd te verstrekken met het oog op het gebruik daarvan voor het toezicht op de verwerkingsactiviteiten.

Ik ben verantwoordelijke, welke gegevens moet ik bijhouden?

Ben je degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze, dan ben je de verantwoordelijke. Elke verantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens:

·         de naam en de contactgegevens van de verantwoordelijke en, in voorkomend geval, van de functionaris voor gegevensbescherming;

·         de doeleinden van de verwerking;

·         een beschrijving van de categorieën van betrokkenen (degenen van wiens persoonsgegevens worden verwerkt) en van de categorieën van persoonsgegevens (bijvoorbeeld NAW-gegevens, BSN, financiële gegevens, e-mailadressen);

·         de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in landen buiten de EER, internationale organisaties of bewerkers;

·         doorgiften van persoonsgegevens aan een land buiten de EER of een internationale organisatie, met inbegrip van de vermelding van dat land of die internationale organisatie;

·         de termijnen waarbinnen de verschillende categorieën van gegevens worden gewist;

·         een beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Ik ben bewerker, welke gegevens moet ik bijhouden?

Je bent bewerker als je degene bent die in opdracht en ten behoeve van de verantwoordelijke persoonsgegevens verwerkt zonder dat je onder diens rechtstreeks gezag staat. De bewerker houdt een register van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verantwoordelijke hebben verricht. Dit register bevat de volgende gegevens:

·         de naam en de contactgegevens van de bewerker en van iedere verantwoordelijke voor rekening waarvan de bewerker handelt en de functionaris voor gegevensbescherming;

·         de categorieën van verwerkingen die voor rekening van iedere verantwoordelijke zijn uitgevoerd;

·         doorgiften van persoonsgegevens aan een land buiten de EER of een internationale organisatie, met inbegrip van de vermelding van dat land of die internationale organisatie;

·         een beschrijving van de getroffen technische en organisatorische beveiligingsmaatregelen.

Uitzondering op de documentatieplicht

Om rekening te houden met de specifieke situatie van kleine, middelgrote en micro-ondernemingen omvat de Verordening een uitzondering voor dergelijke organisaties voor wat betreft het bijhouden van registers. De documentatieplicht is niet van toepassing op ondernemingen of organisaties die minder dan 250 personen in dienst hebben, tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens (bijvoorbeeld medische of strafrechtelijke gegevens) betreft.

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Lora

publicaties

Gerelateerde artikelen