Verantwoordingsplicht
De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.
De AVG-regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen.
Regels AVG
U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid.
Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens te beveiligen.
Verplichte en extra maatregelen
In de AVG staat een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht voldoet. Zo moet u meestal een verwerkingsregister bijhouden.
Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.
Verantwoording afleggen aan AP
Let op: u bent verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens (AP) daar om vraagt. Zorg daarom dat u aan uw verantwoordingsplicht voldoet.
Bekijk binnen het onderwerp Verantwoordingsplicht
Nieuws
-
Nieuwsbericht / 9 maart 2020Privacyblog Aleid Wolfsen: 'Computer says no' is niet genoeg
-
Nieuwsbericht / 30 september 2019AP stelt geen onderzoek in naar opslag medische gegevens in cloud
-
Nieuwsbericht / 17 april 2019Zes aanbevelingen voor een privacybeleid
Alle antwoorden op mijn vragenVragen over de verantwoordingsplicht
-
Wat zijn voorbeelden van organisatorische beveiligingsmaatregelen?
Beveiliging is maatwerk. Dat betekent dat er geen standaardpakket aan organisatorische maatregelen te geven is waaraan u moet voldoen.
Bovendien is beveiligen een continu proces (plan, do, check, act). U moet blijven monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn. Onderstaande voorbeelden helpen u op weg.
Voorbeelden van organisatorische maatregelen:
- Toewijzen van verantwoordelijkheden voor informatiebeveiliging.
- Bevorderen van beveiligingsbewustzijn bij bestaande en nieuwe medewerkers.
- Opstellen van procedures om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen en te evalueren.
- Regelmatige controle van de logbestanden.
- Opstellen van een protocol voor de afhandeling van datalekken en beveiligingsincidenten.
- Sluiten van geheimhoudings- en verwerkersovereenkomsten.
- Beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens.
- Minder mensen in uw organisatie toegang geven tot persoonsgegevens.
- Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.
-
Wat zijn voorbeelden van technische beveiligingsmaatregelen?
Beveiliging is maatwerk. Dat betekent dat er geen standaardpakket aan technische maatregelen te geven is waaraan u moet voldoen.
Bovendien is beveiligen een continu proces (plan, do, check, act). U moet blijven monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn. Onderstaande voorbeelden helpen u op weg.
Voorbeelden van technische maatregelen:
- Logische en fysieke (toegangs-)beveiliging en beveiliging van apparatuur (denk niet alleen aan kluizen en portiers, maar ook aan firewalls en netwerksegregatie);
- Technisch beheer van de (zo beperkt mogelijke) autorisaties en bijhouden van logbestanden;
- Beheer van technische kwetsbaarheden (patch management);
- Software, zoals browsers, virusscanners en operating systems up-to- date houden;
- Back-ups maken waarmee u de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt;
- Automatisch verwijderen van verouderde gegevens:
- Versleuteling van gegevens;
- Hashing. Organisaties kunnen hashing gebruiken als methode om persoonsgegevens te pseudonimiseren;
- Minder gegevens op uw servers verwerken en meer gegevensverwerkingen laten plaatsvinden op de apparatuur van de gebruiker zelf, zoals een smartphone.
Maakt u gebruik van HTTPS?
Verzamelt u persoonsgegevens via een website? Bijvoorbeeld door middel van webformulieren? Dan moet u uw website met HTTPS beveiligen. Dit zorgt ervoor dat het internetverkeer tussen bezoekers van uw website en uw servers niet kan worden onderschept. Als u geen HTTPS gebruikt is de beveiliging van persoonsgegevens die worden verstuurd niet gegarandeerd.
Alle antwoorden op mijn vragenVragen over het verwerkingsregister
Alle antwoorden op mijn vragenVragen over het privacybeleid
Hulpmiddelen voor professionals
Publicaties
- Rapport / 17 april 2019DownloadenPDFOnderzoek privacybeleid
- Rapport / 18 maart 2019DownloadenPDFOnderzoek datalekregistraties