AVG - de plichten van de verantwoordelijke

De Algemene verordening gegevensbescherming (AVG) kent betrokkenen rechten toe. Zie hoofdstuk III van de AVG, Rechten van de betrokkene. De vorige blog-post ging hierover.

Het is de plicht van de verantwoordelijke om deze rechten te honoreren. De AVG legt de verantwoordelijke nog veel meer plichten op. Zie hoofdstuk IV, Verwerkingsverantwoordelijke en verwerker. Daar gaat deze blog-post over. Ik loop het hoofdstuk even met u langs.

Het hoofdstuk bestaat uit vijf "afdelingen". Deze bestaan elk uit enkele artikelen. De artikelen bestaan weer uit "leden". Ik heb de artikelen samengevat. Het nummer van het artikel staat voor de samenvatting.

De AVG is op Internet te vinden op de volgende URL: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/verordening_2016_-_679_definitief.pdf

Hoofdstuk IV, Verwerkingsverantwoordelijke en verwerker

Afdeling 1, Algemene verplichtingen

24. De verantwoordelijke moet zorgen dat "zijn" verwerkingen voldoen aan de AVG en hij moet dit kunnen aantonen.

25. Hij treft pasende maatregelen om de beginselen van de AVG uit te voeren en hij laat waarborgen inbouwen opdat de AVG wordt nageleefd en de rechten van betrokkenen worden beschermd. Hij zorgt dat het doel van de gegevensverwerking wordt bereikt met het minimum aan persoonsgegevens. Verder moet de toegang ertoe beperkt zijn en mogen deze gegevens niet zomaar op straat komen te liggen.

26, 27. Dan is er iets geregeld voor wanneer verantwoordelijken samenwerken en voor het geval de verantwoordelijke (of de verwerker) buiten de EU is gevestigd.

28. De verantwoordelijke mag alleen een verwerker inschakelen die zich houdt aan de AVG. Hij sluit daarvoor een verwerkingsovereenkomst.

29. Iedereen die onder het gezag van de verantwoordelijke valt en toegang heeft tot persoonsgegevens, verwerkt deze gegevens slechts in opdracht van de verantwoordelijke.

30. Indien een organisatie meer dan 249 mensen in dienst heeft moet de verantwoordelijke een register van verwerkingsactiviteiten bijhouden.

31. Tenslotte dient de verantwoordelijke in voorkomend geval mee te werken met de Autoriteit persoonsgegevens (AP).

Afdeling 2, Persoonsgegevensbeveiliging

32. Persoonsgegevens kunnen risico's inhouden voor rechten en vrijheden van betrokkenen. Deze risico's zijn divers en lopen uiteen. De verantwoordelijke neemt op het risiconiveau afgestemde passende beveiligingsmaatregelen.

33. Vindt er een "inbreuk in verband met persoonsgegevens" plaats dan moet de verantwoordelijke dit binnen 72 uur melden aan de AP. Van iedere inbreuk moet hij documenteren hoe hij ermee is omgegaan.

34. Wanneer de inbreuk grote risico's voor betrokkenen oplevert, moet de betrokkene de inbreuk melden aan de betrokkenen - behalve wanneer de inbreuk waarschijnlijk toch geen risico inhield, wanneer de inbreuk zich niet nog eens voor zal doen, of wanneer dit melden wel erg veel moeite zou kosten. De AP kan eventueel de verantwoordelijke opdragen, deze melding te doen.

Afdeling 3, Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging

35. Gaat een verwerking waarschijnlijk grote risico's opleveren voor de rechten en vrijheden van betrokkenen, dan moet de verantwoordelijke een "gegevensbeschermingseffectbeoordeling" doen.

36. Is het resultaat van deze beoordeling dat er inderdaad grote risico's zijn dan raadpleegt de verantwoordelijke de AP. De AP komt dan binnen acht weken met een advies.

Afdeling 4, Functionaris voor gegevensbescherming

37. Overheidsinstanties, organisaties die van veel betrokkenen veel gegevens verzamelen (Google, Facebook) en organisaties die "bijzondere gegevens" (geloof, politieke voorkeur en zo) verwerken, moeten een functionaris voor gegevensverwerking aanstellen.

38. Deze functionaris heeft in de AVG omschreven taken en opereert onafhankelijk van de hiërarchie in zijn organisatie. Hij kan in deze functie niet ontslagen worden.

39. Dit artikel somt een aantal taken van de functionaris op.

Afdeling 5, Gedragscodes en certificering

40. De diverse overheden bevorderen het opstellen van gedragscodes die grote en kleine ondernemingen in diverse sectoren moeten helpen, de AVG toe te passen. Verantwoordelijken of verwerkers stellen deze codes op; gedragscodes moeten worden goedgekeurd door de AP.

41. Er komen organen die toezien op de naleving van de gedragscodes. Zo'n orgaan moet worden geaccrediteerd door de AP.

42. De diverse overheden bevorderen het ontstaan van goedkeuringszegels, -merken en dergelijke. (Denk aan Webwinkelkeur.) Deze zegels e.d. worden verstrekt door een certificerende organisatie of door de AP.

43, De certificerende organisatie moet zijn geaccrediteerd door de AP of andere in de AVG genoemde organisaties, en zij rapporteert aan de AP.

---+---

De AVG is nieuw. Er is nog geen jurisprudentie. Onduidelijk is hoe de AVG precies moet worden geïmplementeerd. Daarbij komt dat de AVG gaat over een deel van onze wereld waar de techniek razendsnel verandert. De AVG beschrijft daarom vooral een belang: rechten en vrijheden voor personen, en een intentie: het beschermen van persoonsgegevens. Verantwoordelijken dienen vooral in de geest van de AVG te handelen.

Over dit blog

Elke maand, op de eerste of tweede dinsdag van de maand, publiceer ik een nieuw artikel, meestal naar aanleiding van een recent gesprek met een bestuurslid. Ik stuur hierover tegelijk een korte e-mail naar belangstellenden.

Geef u hier op voor deze korte e-mails.