Verantwoordingsplicht

De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Dat heet de verantwoordingsplicht (accountability).

Op deze pagina

Wat houdt de verantwoordingsplicht in?

De verantwoordingsplicht houdt bijvoorbeeld in dat u moet kunnen aantonen dat een verwerking van persoonsgegevens voldoet aan de belangrijkste uitgangspunten van de AVG. Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens te beveiligen.

Let op: U bent verplicht verantwoording af te leggen over uw verwerkingen wanneer de Autoriteit Persoonsgegevens (AP) daarnaar vraagt. Zorg daarom dat u aan uw verantwoordingsplicht voldoet.

Verplichte en extra maatregelen

In de AVG staat een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht voldoet. Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.

Verplichte maatregelen

De verplichte maatregelen die de AVG concreet noemt zijn:

Extra maatregelen

Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen waarmee u aantoont dat u voldoet aan de eisen van de AVG. Bijvoorbeeld:

Hoewel deze maatregelen niet verplicht zijn, helpen zij u wel om aan de AP te laten zien dat u voldoet aan de eisen van de AVG. Daarom moedigen wij deze vrijwillige maatregelen aan.

Een privacybeleid maken

U bent alleen verplicht om een privacybeleid op te stellen als dat in verhouding staat tot uw verwerkingsactiviteiten. Of u verplicht bent om een privacybeleid op te stellen, hangt af van de concrete omstandigheden. Zoals de aard, de omvang, de context en het doel van de gegevensverwerking.

Bijvoorbeeld ziekenhuizen, gemeenten, socialmediabedrijven en handelsinformatiebureaus zullen vaak verplicht zijn om een privacybeleid op te stellen. Ook kleine organisaties kunnen verplicht zijn een privacybeleid op te stellen.

Let op: Een privacybeleid is iets anders dan een privacyverklaring. Een privacyverklaring is altijd verplicht. Iedere organisatie is verplicht om met een privacyverklaring mensen heldere informatie te geven over de persoonsgegevens die de organisatie verwerkt en voor welke doelen dat gebeurt. 

Vrijwillig privacybeleid opstellen

Bent u niet verplicht om een privacybeleid op te stellen? Dan kan het toch nuttig zijn om dat wel te doen. Het helpt u namelijk om te zien of u voldoende maatregelen heeft genomen om de persoonsgegevens van bijvoorbeeld uw klanten, patiënten of cliënten te beschermen. Daarnaast is het een manier waarmee u aan zowel uw doelgroep als de AP kunt laten zien dat u voldoet aan de AVG.

Inhoud privacybeleid

In de AVG staat niet precies omschreven welke gegevens u in uw privacybeleid moet opnemen. Uit het beleid moet in ieder geval blijken hoe u voldoet aan de AVG. Dat kunt u laten zien door onder andere deze informatie op te nemen:

Tips voor privacybeleid

De AP heeft 6 tips voor het opstellen van een privacybeleid. Dat zijn:

  1. Beoordeel of u het verplicht bent.
  2. Gebruik expertise.
  3. Leg het vast in 1 document.
  4. Wees concreet.
  5. Maak het beleid bekend.
  6. Niet verplicht? Toch raadzaam.

Beoordeel of u het verplicht bent

Of uw organisatie een privacybeleid moet opstellen, is afhankelijk van de verwerking. Ga na welke soort gegevens uw organisatie verwerkt en op welke schaal. Verwerkt u bijvoorbeeld op grote schaal bijzondere persoonsgegevens? Dan moet u een privacybeleid opstellen en hanteren. Het is uw eigen verantwoordelijkheid om deze beoordeling te maken. Wacht niet totdat de AP ernaar vraagt.

Gebruik expertise

Gebruik de expertise in uw organisatie om tot een goed privacybeleid te komen. De functionaris gegevensbescherming (FG) kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen. Het privacybeleid moet voldoen aan de AVG en werkbaar zijn in de praktijk.

Ondervindt uw organisatie problemen met het invullen van het beleid? Dan kunt u altijd een externe expert om advies vragen over de normen uit de AVG. En over de specifieke uitwerking van deze normen in uw organisatie.

Leg het vast in 1 document

Leg het privacybeleid vast in 1 document. Voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een privacybeleid. De informatie is dan weliswaar beschikbaar, maar het is overzichtelijker als het privacybeleid een compleet beeld geeft.

Wees concreet

Een professioneel privacybeleid vormt een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van uw organisatie. Normen uit de AVG herhalen is niet voldoende.

Maak het beleid bekend

Het is niet verplicht om uw privacybeleid te publiceren. Maar het is wel aan te raden. Dit maakt ook voor betrokkenen duidelijk hoe uw organisatie met hun persoonsgegevens omgaat.

Let bij de publicatie wel op dat er geen informatie in uw privacybeleid staat waarmee kwaadwillenden hun voordeel kunnen doen. Zoals informatie over de beveiliging.

Niet verplicht? Toch raadzaam

Is uw organisatie niet verplicht om een privacybeleid te hebben? Dan is het toch aan te raden om wel een privacybeleid op te stellen. Hiermee toont u aan dat u de persoonsgegevens van betrokkenen wilt beschermen.

Meer informatie

Voor meer informatie over het privacybeleid, zie het Onderzoek privacybeleid van de AP.

Een verwerkingsregister bijhouden

In het verwerkingsregister staat informatie over de persoonsgegevens die u verwerkt. Het opstellen van een verwerkingsregister (AVG: 'register van verwerkingsactiviteiten') is onder de AVG vaak een verplichte maatregel. Of u een verwerkingsregister moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt.

Heeft uw organisatie meer dan 250 medewerkers? Dan bent u sowieso verplicht om een verwerkingsregister bij te houden.

Heeft uw organisatie minder dan 250 medewerkers? Dan moet u een verwerkingsregister opstellen als een of meer van deze situaties op u van toepassing zijn:

  • De verwerking van persoonsgegevens is niet incidenteel. Let op: In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners.
  • U verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.
  • U verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens. Bijvoorbeeld gegevens over gezondheid, godsdienst of politieke voorkeur.

U mag zelf weten hoe u het register opstelt.

Wel schrijft de AVG voor welke informatie u als verwerkingsverantwoordelijke of verwerker in het verwerkingsregister moet zetten.

Verwerkingsregister van verwerkingsverantwoordelijke

De AVG schrijft voor dat u als verwerkingsverantwoordelijke deze informatie in het register moet opnemen:

Naam en contactgegevens

De naam en contactgegevens van:

  • uw organisatie of de vertegenwoordiger van uw organisatie;
  • eventuele andere organisaties met wie u gezamenlijk de doelen van en middelen voor de verwerking heeft vastgesteld (gezamenlijke verantwoordelijkheid);
  • de functionaris gegevensbescherming (FG), als u die heeft aangesteld;
  • eventuele internationale organisaties waarmee u persoonsgegevens deelt.

Doeleinden

De doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld de werving en selectie van personeel, het bezorgen van producten of direct marketing.

Tip: Het is aan te raden om hierbij ook de grondslag te vermelden voor elk van uw verwerkingen. U bent dit niet verplicht volgens de AVG, maar het kan wel helpen om aan uw verantwoordingsplicht te voldoen.

Betrokkenen

Een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten.

Persoonsgegevens

Een beschrijving van de categorieën van persoonsgegevens. Zoals het burgerservicenummer (BSN), NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen.

Bewaartermijn

De datum waarop u de gegevens moet wissen (als dat bekend is).

Ontvangers

De categorieën van ontvangers waaraan u persoonsgegevens verstrekt.

Buiten EER

Deelt u de gegevens met een land of internationale organisatie buiten de EER? Dan moet u dit aangeven in het verwerkingsregister.

Beveiliging

Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.

Verwerkingsregister van verwerker

Verwerkt u in opdracht van een verwerkingsverantwoordelijke persoonsgegevens? Bijvoorbeeld als administratiekantoor of online dienst voor gegevensopslag? Dan moet deze informatie in uw verwerkingsregister staan:

Naam en contactgegevens

De naam en contactgegevens van:

  • uw organisatie, of de vertegenwoordiger van uw organisatie, of de verwerkingsverantwoordelijke;
  • de functionaris gegevensbescherming (FG), als u die heeft aangesteld.

Verwerkingen

Een beschrijving van de categorieën van verwerkingen die u in opdracht van iedere verwerkingsverantwoordelijke uitvoert.

Buiten EER

Deelt u de gegevens met een land of internationale organisatie buiten de EER? Dan moet u dit aangeven in het verwerkingsregister.

Beveiliging

Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.

Meer informatie

Zorg voor goede beveiliging

In de AVG staat dat u persoonsgegevens goed moet beveiligen. Daarom moet u eerst goed in kaart brengen welke verwerkingen u uitvoert. Daarna bepaalt u welke technische en organisatorische maatregelen nodig zijn om die verwerkingen goed te beveiligen.

U moet kunnen aantonen dat u voldoende maatregelen heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.

Privacy by design en default

U kunt een zorgvuldige omgang met persoonsgegevens organisatorisch en technisch stimuleren. Dit doet u met ‘privacy by design’ of ‘privacy by default’.

Privacy by design

Privacy by design (privacy door ontwerp) houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat u persoonsgegevens goed beschermt. En dat u de gegevens niet langer bewaart dan nodig is voor het doel van de verwerking.

Privacy by default

Privacy by default (privacy door standaardinstellingen) houdt in dat de standaardinstellingen van uw product of dienst privacyvriendelijk zijn. Dit betekent dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.

Bijvoorbeeld door:

  • een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
  • op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
  • als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

Meer informatie

Voor meer informatie over privacy by design & privacy by default, zie deze publicaties van de EDPB

Snelle antwoorden

Voor organisaties

2 vragen en antwoorden

Is een verwerkingsregister verplicht voor mij als kleine zorgpraktijk of zorgaanbieder?

Ja, meestal wel. Volgens de AVG zijn organisaties met minder dan 250 werknemers verplicht om een verwerkingsregister op te stellen wanneer zij persoonsgegevens verwerken:

  • die een hoog risico inhouden voor de rechten en vrijheden van mensen; en/of
  • waarvan de verwerking niet incidenteel is; en/of
  • die vallen onder de categorie bijzondere persoonsgegevens.

Lees wat er in het verwerkingsregister moet staan.

Kan ik als gemeente, waterschap of provincie de verwerkingen van meerdere bestuursorganen opnemen in 1 verwerkingsregister?

Ja, dat kan. Het staat bestuursorganen vrij om gezamenlijk 1 verwerkingsregister op te stellen. Wel moet uit het verwerkingsregister duidelijk blijken welk bestuursorgaan de verwerkingsverantwoordelijke is (dat kunnen er ook meerdere zijn) voor welke gegevensverwerking.