Verantwoordingsplicht

In de Algemene verordening gegevensbescherming (AVG) staat een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht (accountability) voldoet. Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.

Verplichte maatregelen

De verplichte maatregelen die de AVG concreet noemt zijn:

• verwerkingsregister bijhouden;
• data protection impact assessment (DPIA) uitvoeren voor gegevensverwerkingen met een hoog privacyrisico;
• register bijhouden van datalekken die zijn opgetreden (ook als u die niet hoeft te melden);
• aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer u voor deze verwerking toestemming nodig heeft;
• goed kunnen onderbouwen waarom wanneer u ervoor gekozen heeft om al dan niet een functionaris gegevensbescherming (FG) aan te stellen wanneer onduidelijk is of u verplicht bent om een FG aan te stellen.

Extra maatregelen

Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen waarmee u aantoont dat u voldoet aan de eisen van de AVG. Bijvoorbeeld:

• bij een gedragscode aansluiten;
• een bepaald certificaat behalen;
• een specifiek ICT-beveiligingsbeleid hanteren;
• verantwoording afleggen over de verwerking van persoonsgegevens in uw jaarverslag of in een speciaal privacy-jaarverslag.

Hoewel deze maatregelen niet verplicht zijn, helpen zij u wel om aan de toezichthouder te laten zien dat u voldoet aan de eisen van de AVG. Daarom moedigen wij deze vrijwillige maatregelen aan.

Ja. Verwerkt u bij een pilot, test of proefproject persoonsgegevens? Dan is de Algemene verordening gegevensbescherming (AVG) van toepassing. Ook als het eindproduct nog niet is opgeleverd. 

Dit betekent onder meer dat u moet bepalen of u persoonsgegevens mag verwerken. En zo ja, dan moet u aantonen dat u aan de AVG voldoet.

U moet bijvoorbeeld nagaan of u een DPIA moet uitvoeren voorafgaand aan een pilot, test of proefproject.

Pilot, test of proefproject

Het doel van een pilot, test of proefproject is om een nieuwe werkwijze te testen. Hiermee wordt onderzocht of een werkwijze effectief en efficiënt is om een bepaald probleem op te lossen.

Een pilot, test of proefproject kan ook uitermate nuttig zijn om privacy by design te testen.

Met privacy by design en privacy by default dwingt u een zorgvuldige omgang met persoonsgegevens organisatorisch en technisch af.

Privacy by design

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. En dat u de gegevens niet langer bewaart dan nodig is voor het doel van de verwerking.

Privacy by default

Privacy by default houdt in dat de standaardinstellingen van uw product of dienst privacyvriendelijk zijn. Dit betekent dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.

Bijvoorbeeld door:

• een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
• op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
• als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Meer informatie

Voor meer informatie over privacy by design & privacy by default, zie de Richtsnoeren over gegevensbescherming door ontwerp en door standaardinstellingen van de European Data Protection Board (EDPB).

In de Algemene verordening gegevensbescherming (AVG) staat dat u persoonsgegevens goed moet beveiligen. Daarom moet u eerst goed in kaart brengen welke verwerkingen u uitvoert. Daarna bepaalt u welke technische en organisatorische maatregelen nodig zijn om die verwerkingen goed te beveiligen.

• Voorbeelden van technische beveiligingsmaatregelen
• Voorbeelden van organisatorische beveiligingsmaatregelen

Waarmee moet u rekening houden?

Uw beveiligingsniveau moet zijn afgestemd op de risico’s die de gegevensverwerking met zich meebrengt. Bijvoorbeeld risico’s door vernietiging, verlies, wijziging of ongeoorloofde verwerking van persoonsgegevens. Of dat nu per ongeluk of doelbewust gebeurt. U moet daarbij rekening houden met de volgende punten:

• De stand van de techniek.
• De uitvoeringskosten.
• De aard, de omvang, de context en de verwerkingsdoeleinden van de verwerking.
• Hoe waarschijnlijk en ernstig het is voor de betrokken personen als er een beveiligingslek ontstaat.

Welke maatregelen moet u in elk geval overwegen?

Het is belangrijk dat u in elk geval maatregelen overweegt die nodig zijn om:

• de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.
• bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen.
• te testen of de genomen maatregelen nog steeds effectief zijn. Een procedure om met vaste regelmaat te testen of de genomen beveiligingsmaatregelen nog steeds voldoende effectief zijn.

Verantwoordingsplicht

Onder de AVG geldt de verantwoordingsplicht. Dat betekent dat u onder meer moet kunnen aantonen dat u voldoende maatregelen heeft genomen om de persoonsgegevens die u verwerkt te beveiligen. De Autoriteit Persoonsgegevens kan hier naar vragen.

Beveiliging is maatwerk. Dat betekent dat er geen standaardpakket aan organisatorische maatregelen te geven is waaraan u moet voldoen.

Bovendien is beveiligen een continu proces (plan, do, check, act). U moet blijven monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn. Onderstaande voorbeelden helpen u op weg.

Voorbeelden van organisatorische maatregelen:

• Toewijzen van verantwoordelijkheden voor informatiebeveiliging.
• Bevorderen van beveiligingsbewustzijn bij bestaande en nieuwe medewerkers.
• Opstellen van procedures om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen en te evalueren.
• Regelmatige controle van de logbestanden.
• Opstellen van een protocol voor de afhandeling van datalekken en beveiligingsincidenten.
• Sluiten van geheimhoudings- en verwerkersovereenkomsten.
• Beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens.
• Minder mensen in uw organisatie toegang geven tot persoonsgegevens.
• Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.

Beveiliging is maatwerk. Dat betekent dat er geen standaardpakket aan technische maatregelen te geven is waaraan u moet voldoen.

Bovendien is beveiligen een continu proces (plan, do, check, act). U moet blijven monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn. Onderstaande voorbeelden helpen u op weg.

Voorbeelden van technische maatregelen:

• Logische en fysieke (toegangs-)beveiliging en beveiliging van apparatuur (denk niet alleen aan kluizen en portiers, maar ook aan firewalls en netwerksegregatie);
• Technisch beheer van de (zo beperkt mogelijke) autorisaties en bijhouden van logbestanden;
• Beheer van technische kwetsbaarheden (patch management);
• Software, zoals browsers, virusscanners en operating systems up-to- date houden;
• Back-ups maken waarmee u de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt;
• Automatisch verwijderen van verouderde gegevens:
• Versleuteling van gegevens;
• Hashing. Organisaties kunnen hashing gebruiken als methode om persoonsgegevens te pseudonimiseren;
• Minder gegevens op uw servers verwerken en meer gegevensverwerkingen laten plaatsvinden op de apparatuur van de gebruiker zelf, zoals een smartphone.

Maakt u gebruik van HTTPS?

Verzamelt u persoonsgegevens via een website? Bijvoorbeeld door middel van webformulieren? Dan moet u uw website met HTTPS beveiligen. Dit zorgt ervoor dat het internetverkeer tussen bezoekers van uw website en uw servers niet kan worden onderschept. Als u geen HTTPS gebruikt is de beveiliging van persoonsgegevens die worden verstuurd niet gegarandeerd.

Het opstellen van een register van verwerkingsactiviteiten (verwerkingsregister) is onder de Algemene verordening gegevensbescherming (AVG) vaak een verplichte maatregel. Of u een verwerkingsregister moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt.

In het verwerkingsregister staat informatie over de persoonsgegevens die u verwerkt.

Organisaties met meer dan 250 medewerkers

Heeft uw organisatie meer dan 250 medewerkers? Dan bent u verplicht om een verwerkingsregister bij te houden.

Organisaties met minder dan 250 medewerkers

Heeft uw organisatie minder dan 250 medewerkers? Dan moet u over een verwerkingsregister beschikken als een of meer van de volgende situaties op u van toepassing is:

• De verwerking van persoonsgegevens is niet incidenteel.
  In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners.
• U verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.
• U verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens.
  Bijvoorbeeld gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

Visie Europese privacytoezichthouders

In de publicatie Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR leggen de Europese privacytoezichthouders uit hoe zij aankijken tegen de wettelijke uitzonderingen op de verplichting om een verwerkingsregister op te stellen.

Inhoud verwerkingsregister

Voor informatie over wat u in uw verwerkingsregister moet opnemen, zie: Wat moet er in het verwerkingsregister staan?

Ja. Als u verplicht bent om een register van verwerkingsactiviteiten (verwerkingsregister) op te stellen, moet u dit register kunnen verstrekken wanneer de Autoriteit Persoonsgegevens (AP) dat aan u vraagt. Dat is onderdeel van uw verantwoordingsplicht.

U bent alleen verplicht om een privacybeleid (gegevensbeschermingsbeleid) op te stellen als dat in verhouding staat tot uw verwerkingsactiviteiten. Of u verplicht bent om een privacybeleid op te stellen, hangt af van de concrete omstandigheden. Zoals de aard, de omvang, de context en het doel van de gegevensverwerking.

Ziekenhuizen, gemeenten, social mediabedrijven en handelsinformatiebureaus zullen daarom vaak verplicht zijn om een privacybeleid op te stellen. Ook kleine organisaties kunnen verplicht zijn een privacybeleid op te stellen.

Vrijwillig privacybeleid

Bent u niet verplicht om een privacybeleid op te stellen? Dan kan het toch nuttig zijn om dat wél te doen.

Het helpt u namelijk om te zien of u voldoende maatregelen heeft genomen om de persoonsgegevens van bijvoorbeeld uw klanten, patiënten of cliënten te beschermen.

Daarnaast is het een manier waarmee u aan zowel uw doelgroep als de Autoriteit Persoonsgegevens kunt laten zien dat u voldoet aan de Algemene verordening gegevensbescherming (AVG).

Verschil met privacyverklaring

Let op: een privacybeleid is iets anders dan een privacyverklaring. Niet elke organisatie die persoonsgegevens verwerkt, is verplicht een privacybeleid op te stellen.

Maar iedere organisatie is wél verplicht om mensen heldere informatie te geven over de persoonsgegevens die de organisatie verwerkt en voor welke doelen dat gebeurt. 

In de praktijk is een online privacyverklaring de handigste manier om aan deze verplichting te voldoen.

Meer informatie

• Wat moet er volgens de AVG in een privacybeleid staan?
• Welke tips heeft de AP voor het opstellen van een privacybeleid?

In de Algemene verordening gegevensbescherming (AVG) staat niet precies omschreven welke gegevens u in uw privacybeleid (gegevensbeschermingsbeleid) moet opnemen. Uit het beleid moet in ieder geval blijken hoe u voldoet aan de AVG.

Dat is onderdeel van uw verantwoordingsplicht.

Informatie in privacybeleid

U kunt laten zien hoe u voldoet aan de AVG door onder andere deze informatie op te nemen:

• Een omschrijving van de categorieën persoonsgegevens die u verwerkt.
• Een beschrijving van de doeleinden waarvoor u persoonsgegevens verwerkt. En wat de wettelijke grondslag daarvoor is.
• Hoe u voldoet aan de beginselen van verwerking van persoonsgegevens. Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk.
• Welke privacyrechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens.
• Welke organisatorische en technische maatregelen u genomen heeft om de persoonsgegevens te beveiligen.
• Hoe lang u de persoonsgegevens bewaart.

Het opstellen van een privacybeleid is niet altijd verplicht. Toch kan het nuttig zijn om ook een privacybeleid op te stellen als u dit niet verplicht bent.

Meer informatie

• Welke tips heeft de AP voor het opstellen van een privacybeleid?

De Autoriteit Persoonsgegevens (AP) heeft 6 tips voor het opstellen van een privacybeleid.

1. Beoordeel of u het verplicht bent

Of uw organisatie een privacybeleid moet opstellen, is afhankelijk van de verwerking. Ga na welke soort gegevens uw organisatie verwerkt en op welke schaal.

Verwerkt u bijvoorbeeld op grote schaal bijzondere persoonsgegevens? Dan moet u een privacybeleid opstellen en hanteren.

Het is uw eigen verantwoordelijkheid om deze beoordeling te maken. Wacht niet totdat de AP ernaar vraagt.

2. Gebruik expertise

Gebruik de aanwezige expertise in uw organisatie om tot een goed privacybeleid te komen. De functionaris gegevensbescherming (FG) kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen.

Het privacybeleid moet voldoen aan de AVG en werkbaar zijn in de praktijk.

Ondervindt uw organisatie problemen met het invullen van het beleid? Dan kunt u altijd een externe expert raadplegen voor advies over de normen uit de AVG. En over de specifieke uitwerking van deze normen binnen uw organisatie.

3. Leg het vast in één document

Leg het privacybeleid vast in één document. Voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een privacybeleid.

De informatie is dan weliswaar voorhanden, maar het is overzichtelijker als het privacybeleid een compleet beeld geeft.

4. Wees concreet

Een professioneel privacybeleid vormt een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van uw organisatie. Normen uit de AVG herhalen is niet voldoende.

5. Maak het beleid bekend

Het is niet verplicht om uw privacybeleid te publiceren. Maar het is wel aan te raden. Dit maakt ook voor betrokkenen (de mensen van wie u gegevens verwerkt) inzichtelijk hoe uw organisatie met hun persoonsgegevens omgaat.

Let bij de publicatie wel op dat er geen informatie in uw privacybeleid staat waarmee kwaadwillenden hun voordeel kunnen doen. Zoals informatie over de beveiliging.

6. Niet verplicht? Toch raadzaam

Is uw organisatie niet verplicht om een privacybeleid te hebben? Dan is het toch aan te raden om wel een privacybeleid op te stellen. Hiermee toont u aan dat u de persoonsgegevens van betrokkenen wilt beschermen.

Zie ook

• Onderzoek privacybeleid van de AP