Verantwoordingsplicht

De AVG legt meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. De nieuwe regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen.

(Bron: https://autoriteitpersoonsgegevens.nl)

U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals:

  • rechtmatigheid;
  • transparantie;
  • doelbinding;
  • juistheid.

Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen.

Verwerkersovereenkomst

Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken, moet u met deze organisaties een 'verwerkersovereenkomst' afsluiten. Het gaat daarbij om gevallen waarbij u die andere partij de opdracht geeft persoonsgegevens waarvoor u zelf verantwoordelijk bent, te verwerken. Met andere woorden: u bepaalt wat er moet gebeuren met de gegevens en hoe.

Bijvoorbeeld het laten uitvoeren van uw personeels- en salarisadministratie of wanneer u software gebruikt waarbij persoonsgegevens in een cloud worden opgeslagen.

Met een verwerkersovereenkomst sluit u uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken.

U mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Maar let op: als u de gegevensverwerking door een verwerker laat uitvoeren, dan bent u nog steeds verantwoordelijk voor de naleving van de AVG.

Verwerkingsverantwoordelijke

Als u als verwerkingsverantwoordelijke aan een andere partij persoonsgegevens verstrekt zodat die andere partij een product of een dienst kan leveren aan een betrokkene, dan is die andere partij zelf verwerkingsverantwoordelijke. De leverancier van het product of de dienst stelt zelf namelijk het doel en de middelen vast voor de verwerking van de persoonsgegevens die hij ontvangt van de opdrachtgever voor het leveren van een product of een dienst aan betrokkene. In dat geval bent u beide verwerkingsverantwoordelijke.

Wat moet er in een verwerkersovereenkomst staan?

In de overeenkomst legt u onder meer het volgende vast:

  • Het onderwerp en de duur van de gegevensverwerking.
  • De aard en het doel van de gegevensverwerking.
  • Het soort persoonsgegevens.
  • De categorieën van betrokkenen.
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke.

U moet de volgende onderwerpen vastleggen:

Algemene beschrijving;  Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.

Instructies verwerking;  De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Geheimhoudingsplicht;  Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

Beveiliging;  De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen.

Subverwerkers;  De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.

Privacyrechten;  De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

Andere verplichtingen;  De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

Gegevens verwijderen;  Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

Audits;  De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen.


Meer informatie

De specialisten van VTM geven u graag meer uitleg over de spelregels van de AVG. Maak een afspraak voor een oriënterend gesprek. Dat kan via 0174 52 73 20  of  info@vtmgroep.nl

 

Terug naar overzicht

Volgende

Doe de AVG quickscan