Hoe kunt u aan de AVG voldoen?

Privacy compliance

Om uw organisatie privacy compliant te maken dient u te voldoen aan de vereisten die door de Algemene Verordening Gegevensbescherming (AVG) worden gesteld. U moet namelijk als organisatie kunnen aantonen dat u voldoet aan de verplichtingen uit de AVG, wat zich onder meer uit in het voeren van een Privacy-Administratie die ook een register van verwerkingsactiviteiten bevat. Uiteraard dient uw organisatie verder ook passende technische en organisatorische maatregelen te nemen en waar nodig passende verwerkersovereenkomsten te sluiten. Van al deze maatregelen dient de organisatie de compliance te kunnen aantonen en daarom dient zij een administratie te voeren.

Register van verwerkingsactiviteiten

Voor verwerkingsverantwoordelijken en verwerkers van persoonsgegevens met 250 of meer werknemers of die risicovolle verwerkingen doen of die niet-incidentele verwerkingen verrichten, dienen naast de gewone administratie ook registers van verwerkingsactiviteiten te worden bijgehouden. Deze dienen te voldoen aan de eisen van artikel 30 AVG. Deze nadere registers dienen altijd actueel en volledig te zijn.

Vanwege het brede toepassingsbereik van deze regeling, zal deze plicht voor vrijwel iedere organisatie gelden. Het is niet zo dat deze plicht enkel voor de grote organisaties geldt. Kleinere organisaties die bijvoorbeeld met medische persoonsgegevens werken, zoals kleinere zorginstellingen of huisartspraktijken, zullen dus per definitie deze extra registers moeten gaan vormgeven. Ook kan gedacht worden aan marketeers die structureel door middel van online tracking persoonsgegevens verwerken, waarmee levensstijlen van personen in kaart kunnen worden gebracht. Uiteraard zijn er vele voorbeelden te bedenken die meer risicovol zijn dan de gemiddelde klanten- of personeelslijst. Daarnaast is het bijhouden van een register ook noodzakelijk voor niet-incidentele verwerkingen.

Het bijhouden van de verwerkingsactiviteiten in een verwerkingsregister is de meest ingrijpende nieuwe plicht, die geïntroduceerd is door de AVG.

Dit register bevat de verwerkingsactiviteiten van de betreffende verwerkingsverantwoordelijke. Ook de verwerker, die voor de verwerkingsverantwoordelijke verwerkingsactiviteiten verricht (en die wij door de Wbp gewend zijn om ‘bewerker’ te noemen), houdt een register bij. Verder mag een register van verwerkingsactiviteiten zowel op papier als digitaal worden bijgehouden.

Privacy-Administratie vormt de blauwdruk

De Privacy-Administratie die wij leveren biedt uw organisatie niet alleen een blauwdruk voor de registers van verwerkingen, maar helpt uw organisatie ook op weg met het beantwoorden van vragen als: