Verantwoordingsplicht
De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.
De AVG-regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen.
Regels AVG
U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid.
Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens te beveiligen.
Verplichte en extra maatregelen
In de AVG staat een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht voldoet. Zo moet u meestal een verwerkingsregister bijhouden.
Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.
Verantwoording afleggen aan AP
Let op: u bent verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens (AP) daar om vraagt. Zorg daarom dat u aan uw verantwoordingsplicht voldoet.
Bekijk binnen het onderwerp Verantwoordingsplicht
Nieuws
-
Nieuwsbericht / 9 maart 2020Privacyblog Aleid Wolfsen: 'Computer says no' is niet genoeg
-
Nieuwsbericht / 30 september 2019AP stelt geen onderzoek in naar opslag medische gegevens in cloud
-
Nieuwsbericht / 17 april 2019Zes aanbevelingen voor een privacybeleid
Alle antwoorden op mijn vragenVragen over de verantwoordingsplicht
-
Hoe voldoe ik aan de verantwoordingsplicht?
In de Algemene verordening gegevensbescherming (AVG) staat een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht (accountability) voldoet. Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.
Verplichte maatregelen
De verplichte maatregelen die de AVG concreet noemt zijn:
- verwerkingsregister bijhouden;
- data protection impact assessment (DPIA) uitvoeren voor gegevensverwerkingen met een hoog privacyrisico;
- register bijhouden van datalekken die zijn opgetreden (ook als u die niet hoeft te melden);
- aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer u voor deze verwerking toestemming nodig heeft;
- goed kunnen onderbouwen waarom wanneer u ervoor gekozen heeft om al dan niet een functionaris gegevensbescherming (FG) aan te stellen wanneer onduidelijk is of u verplicht bent om een FG aan te stellen.
Extra maatregelen
Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen waarmee u aantoont dat u voldoet aan de eisen van de AVG. Bijvoorbeeld:
- bij een gedragscode aansluiten;
- een bepaald certificaat behalen;
- een specifiek ICT-beveiligingsbeleid hanteren;
- verantwoording afleggen over de verwerking van persoonsgegevens in uw jaarverslag of in een speciaal privacy-jaarverslag.
Hoewel deze maatregelen niet verplicht zijn, helpen zij u wel om aan de toezichthouder te laten zien dat u voldoet aan de eisen van de AVG. Daarom moedigen wij deze vrijwillige maatregelen aan.
-
Wat houdt privacy by design en default in?
Met privacy by design en privacy by default dwingt u een zorgvuldige omgang met persoonsgegevens organisatorisch en technisch af.
Privacy by design
Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. En dat u de gegevens niet langer bewaart dan nodig is voor het doel van de verwerking.
Privacy by default
Privacy by default houdt in dat de standaardinstellingen van uw product of dienst privacyvriendelijk zijn. Dit betekent dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
Bijvoorbeeld door:
- een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
- op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
- als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
Meer informatie
Voor meer informatie over privacy by design & privacy by default, zie de (Engeltalige) Guidelines on data protection by design and by default van de European Data Protection Board (EDPB).
-
Hoe bepaal ik welke maatregelen ik moet nemen om mijn verwerkingen te beveiligen?
In de Algemene verordening gegevensbescherming (AVG) staat dat u persoonsgegevens goed moet beveiligen. Daarom moet u eerst goed in kaart brengen welke verwerkingen u uitvoert. Daarna bepaalt u welke technische en organisatorische maatregelen nodig zijn om die verwerkingen goed te beveiligen.
- Voorbeelden van technische beveiligingsmaatregelen
- Voorbeelden van organisatorische beveiligingsmaatregelen
Waarmee moet u rekening houden?
Uw beveiligingsniveau moet zijn afgestemd op de risico’s die de gegevensverwerking met zich meebrengt. Bijvoorbeeld risico’s door vernietiging, verlies, wijziging of ongeoorloofde verwerking van persoonsgegevens. Of dat nu per ongeluk of doelbewust gebeurt. U moet daarbij rekening houden met de volgende punten:
- De stand van de techniek.
- De uitvoeringskosten.
- De aard, de omvang, de context en de verwerkingsdoeleinden van de verwerking.
- Hoe waarschijnlijk en ernstig het is voor de betrokken personen als er een beveiligingslek ontstaat.
Welke maatregelen moet u in elk geval overwegen?
Het is belangrijk dat u in elk geval maatregelen overweegt die nodig zijn om:
- de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.
- bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen.
- te testen of de genomen maatregelen nog steeds effectief zijn. Een procedure om met vaste regelmaat te testen of de genomen beveiligingsmaatregelen nog steeds voldoende effectief zijn.
Verantwoordingsplicht
Onder de AVG geldt de verantwoordingsplicht. Dat betekent dat u onder meer moet kunnen aantonen dat u voldoende maatregelen heeft genomen om de persoonsgegevens die u verwerkt te beveiligen. De Autoriteit Persoonsgegevens kan hier naar vragen.
-
Wat zijn voorbeelden van organisatorische beveiligingsmaatregelen?
Beveiliging is maatwerk. Dat betekent dat er geen standaardpakket aan organisatorische maatregelen te geven is waaraan u moet voldoen.
Bovendien is beveiligen een continu proces (plan, do, check, act). U moet blijven monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn. Onderstaande voorbeelden helpen u op weg.
Voorbeelden van organisatorische maatregelen:
- Toewijzen van verantwoordelijkheden voor informatiebeveiliging.
- Bevorderen van beveiligingsbewustzijn bij bestaande en nieuwe medewerkers.
- Opstellen van procedures om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen en te evalueren.
- Regelmatige controle van de logbestanden.
- Opstellen van een protocol voor de afhandeling van datalekken en beveiligingsincidenten.
- Sluiten van geheimhoudings- en verwerkersovereenkomsten.
- Beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens.
- Minder mensen in uw organisatie toegang geven tot persoonsgegevens.
- Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.
-
Wat zijn voorbeelden van technische beveiligingsmaatregelen?
Beveiliging is maatwerk. Dat betekent dat er geen standaardpakket aan technische maatregelen te geven is waaraan u moet voldoen.
Bovendien is beveiligen een continu proces (plan, do, check, act). U moet blijven monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn. Onderstaande voorbeelden helpen u op weg.
Voorbeelden van technische maatregelen:
- Logische en fysieke (toegangs-)beveiliging en beveiliging van apparatuur (denk niet alleen aan kluizen en portiers, maar ook aan firewalls en netwerksegregatie);
- Technisch beheer van de (zo beperkt mogelijke) autorisaties en bijhouden van logbestanden;
- Beheer van technische kwetsbaarheden (patch management);
- Software, zoals browsers, virusscanners en operating systems up-to- date houden;
- Back-ups maken waarmee u de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt;
- Automatisch verwijderen van verouderde gegevens:
- Versleuteling van gegevens;
- Hashing. Organisaties kunnen hashing gebruiken als methode om persoonsgegevens te pseudonimiseren;
- Minder gegevens op uw servers verwerken en meer gegevensverwerkingen laten plaatsvinden op de apparatuur van de gebruiker zelf, zoals een smartphone.
Maakt u gebruik van HTTPS?
Verzamelt u persoonsgegevens via een website? Bijvoorbeeld door middel van webformulieren? Dan moet u uw website met HTTPS beveiligen. Dit zorgt ervoor dat het internetverkeer tussen bezoekers van uw website en uw servers niet kan worden onderschept. Als u geen HTTPS gebruikt is de beveiliging van persoonsgegevens die worden verstuurd niet gegarandeerd.
Alle antwoorden op mijn vragenVragen over het verwerkingsregister
-
Ben ik verplicht om een verwerkingsregister op te stellen?
Het opstellen van een register van verwerkingsactiviteiten (verwerkingsregister) is onder de Algemene verordening gegevensbescherming (AVG) vaak een verplichte maatregel. Of u een verwerkingsregister moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt.
In het verwerkingsregister staat informatie over de persoonsgegevens die u verwerkt.
Organisaties met meer dan 250 medewerkers
Heeft uw organisatie meer dan 250 medewerkers? Dan bent u verplicht om een verwerkingsregister bij te houden.
Organisaties met minder dan 250 medewerkers
Heeft uw organisatie minder dan 250 medewerkers? Dan moet u over een verwerkingsregister beschikken als een of meer van de volgende situaties op u van toepassing is:
- De verwerking van persoonsgegevens is niet incidenteel.
In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners. - U verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.
- U verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens.
Bijvoorbeeld gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.
Visie Europese privacytoezichthouders
In de publicatie Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR leggen de Europese privacytoezichthouders uit hoe zij aankijken tegen de wettelijke uitzonderingen op de verplichting om een verwerkingsregister op te stellen.
Inhoud verwerkingsregister
Voor informatie over wat u in uw verwerkingsregister moet opnemen, zie: Wat moet er in het verwerkingsregister staan?
- De verwerking van persoonsgegevens is niet incidenteel.
-
Wat moet er in het verwerkingsregister staan?
Het register van verwerkingsactiviteiten (verwerkingsregister) bevat informatie over de persoonsgegevens die u verwerkt. U mag zelf weten hoe u het register opstelt. Wel schrijft de Algemene verordening gegevensbescherming (AVG) voor welke informatie u als verantwoordelijke of verwerker in het verwerkingsregister moet zetten.
Verplicht verwerkingsregister
U bent onder de AVG vrijwel altijd verplicht om een register van verwerkingsactiviteiten (verwerkingsregister) bij te houden.
Is uw organisatie de verwerkingsverantwoordelijke?
Stelt uw organisatie zelf het doel en de middelen voor de verwerking van de persoonsgegevens vast? Dan is uw organisatie de verwerkingsverantwoordelijke.
De AVG schrijft voor dat u als verwerkingsverantwoordelijke de volgende informatie in het register moet opnemen:
Naam en contactgegevens
De naam en contactgegevens van:- uw organisatie of de vertegenwoordiger van uw organisatie;
- eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld;
- de functionaris gegevensbescherming (FG), als u die heeft aangesteld;
- eventuele internationale organisaties waar u persoonsgegevens mee deelt.
Doeleinden
De doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing.Tip: het is aan te raden om hierbij ook de grondslag te vermelden voor elk van uw verwerkingen. U bent dit niet verplicht volgens de AVG, maar het kan wel helpen om aan uw verantwoordingsplicht te voldoen.
Betrokkenen
Een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten.Persoonsgegevens
Een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen.Bewaartermijn
De datum waarop u de gegevens moet wissen (als dat bekend is).Ontvangers
De categorieën van ontvangers aan wie u persoonsgegevens verstrekt.Buiten EU
Deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het verwerkingsregister.Beveiliging
Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.Is uw organisatie een verwerker?
Verwerkt u in opdracht van een verantwoordelijke persoonsgegevens? Bijvoorbeeld omdat u werkt bij een administratiekantoor of een online dienst voor gegevensopslag? Dan moet de volgende informatie in uw verwerkingsregister staan:
Naam en contactgegevens
De naam en contactgegevens van:- uw organisatie, of de vertegenwoordiger van uw organisatie, of de verwerkingsverantwoordelijke;
- de functionaris gegevensbescherming (FG), als u die heeft aangesteld.
Verwerkingen
Een beschrijving van de categorieën van verwerkingen die u in opdracht van iedere verantwoordelijke uitvoert.Internationale doorgifte
Eventuele internationale organisaties waarmee u persoonsgegevens deelt.Buiten EU
Deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het verwerkingsregister.Beveiliging
Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen. -
Moet ik mijn verwerkingsregister aan de AP laten zien?
Ja. Als u verplicht bent om een register van verwerkingsactiviteiten (verwerkingsregister) op te stellen, moet u dit register kunnen verstrekken wanneer de Autoriteit Persoonsgegevens (AP) dat aan u vraagt. Dat is onderdeel van uw verantwoordingsplicht.
Alle antwoorden op mijn vragenVragen over het privacybeleid
Hulpmiddelen voor professionals
Publicaties
- Rapport / 17 april 2019DownloadenPDFOnderzoek privacybeleid
- Rapport / 18 maart 2019DownloadenPDFOnderzoek datalekregistraties