Vergroot contrast

Verantwoordingsplicht

De Algemene verordening gegevensbescherming (AVG) legt meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

De nieuwe regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen.

U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:
- rechtmatigheid;
- transparantie;
- doelbinding;
- juistheid.

Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen.

U bent verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens daar om vraagt. Zorg daarom dat u aan uw verantwoordingsplicht voldoet vanaf 25 mei 2018. Vanaf dan geldt de AVG.

Lees meer over de voorbereiding op de AVG.

Bekijk binnen het onderwerp Verantwoordingsplicht

Alle antwoorden op mijn vragenVragen over de verantwoordingsplicht

  • Hoe voldoe ik aan de verantwoordingsplicht?

    In de Algemene verordening gegevensbescherming (AVG) staan een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht (accountability) voldoet. Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.

    Verplichte maatregelen

    De verplichte maatregelen die de AVG concreet noemt zijn:

    • het bijhouden van een register van verwerkingsactiviteiten; 
    • het uitvoeren van een gegevensbeschermingseffectbeoordeling;
    • het bijhouden van een register van datalekken die zijn opgetreden;
    • het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer u voor een verwerking toestemming nodig heeft.
    • wanneer onduidelijk is of u verplicht bent om een Functionaris voor gegevensbescherming aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om al dan niet een FG aan te stellen.

    Meer informatie over deze verplichtingen vindt u in ons AVG-dossier en in de AVG zelf.

    Extra maatregelen

    Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen waarmee u aantoont dat u voldoet aan de eisen van de AVG. Bijvoorbeeld:

    • het aansluiten bij een gedragscode;
    • het behalen van een bepaald certificaat;
    • het hanteren van een specifiek ICT-beveiligingsbeleid;
    • het afleggen van verantwoording over de verwerking van persoonsgegevens in uw jaarverslag of in een speciaal privacy-jaarverslag.

    Hoewel deze maatregelen niet verplicht zijn, helpen zij u wel om aan de toezichthouder te laten zien dat u voldoet aan de eisen van de AVG. Daarom moedigen wij deze vrijwillige maatregelen aan.

  • Ben ik verplicht om een register van verwerkingsactiviteiten op te stellen?

    In de Algemene verordening gegevensbescherming (AVG) staan een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht (accountability) kunt voldoen. Een van die verplichtingen is het register van verwerkingsactiviteiten. Of u een register van verwerkingsactiviteiten moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt.

    Organisaties met meer dan 250 medewerkers

    Heeft uw organisatie meer dan 250 medewerkers? Dan bent u verplicht om een register van verwerkingsactiviteiten bij te houden.

    Organisaties met minder dan 250 medewerkers

    Heeft uw organisatie minder dan 250 medewerkers? Dan moet u over een register van verwerkingsactiviteiten beschikken wanneer u persoonsgegevens verwerkt:

    • die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt en/of;
    • waarvan de verwerking niet incidenteel is en/of;
    • die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

    Bent u verplicht om een register van verwerkingsactiviteiten op te stellen? Dan moet u dit register kunnen verstrekken wanneer de Autoriteit Persoonsgegevens daar om vraagt.