Vergroot contrast

Verantwoordingsplicht

De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht (accountability) levert u een belangrijke bijdrage aan de bescherming van het grondrecht van mensen op privacy.

De AVG-regels dwingen u om goed na te denken over hoe uw organisatie persoonsgegevens verwerkt en beschermt. De verantwoordingsplicht houdt in dat u moet kunnen aantonen dat uw verwerkingen aan de regels van de AVG voldoen.

Regels AVG

U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid.

Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens te beveiligen.

Verplichte en extra maatregelen

In de AVG staat een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht voldoet. Zo moet u meestal een register van verwerkingsactiviteiten (verwerkingsregister) bijhouden. Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.

Verantwoording afleggen aan AP

Let op: u bent verplicht verantwoording af te leggen over uw gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens (AP) daar om vraagt. Zorg daarom dat u aan uw verantwoordingsplicht voldoet.

Nieuws

Alle nieuwsberichten over het onderwerp 'Verantwoordingsplicht'

Alle antwoorden op mijn vragenVragen over de verantwoordingsplicht

  • Hoe voldoe ik aan de verantwoordingsplicht?

    In de Algemene verordening gegevensbescherming (AVG) staat een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht (accountability) voldoet. Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.

    Verplichte maatregelen

    De verplichte maatregelen die de AVG concreet noemt zijn:

    Extra maatregelen

    Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen waarmee u aantoont dat u voldoet aan de eisen van de AVG. Bijvoorbeeld:

    • bij een gedragscode aansluiten;
    • een bepaald certificaat behalen;
    • een specifiek ICT-beveiligingsbeleid hanteren;
    • verantwoording afleggen over de verwerking van persoonsgegevens in uw jaarverslag of in een speciaal privacy-jaarverslag.

    Hoewel deze maatregelen niet verplicht zijn, helpen zij u wel om aan de toezichthouder te laten zien dat u voldoet aan de eisen van de AVG. Daarom moedigen wij deze vrijwillige maatregelen aan.

  • Ben ik verplicht om een register van verwerkingsactiviteiten op te stellen?

    Het opstellen van een register van verwerkingsactiviteiten (verwerkingsregister) is onder de AVG vaak een verplichte maatregel. Of u zo'n register moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt.

    In het verwerkingsregister staat informatie over de persoonsgegevens die u verwerkt.

    Organisaties met meer dan 250 medewerkers

    Heeft uw organisatie meer dan 250 medewerkers? Dan bent u verplicht om een verwerkingsregister bij te houden.

    Organisaties met minder dan 250 medewerkers

    Heeft uw organisatie minder dan 250 medewerkers? Dan moet u over een verwerkingsregister beschikken als een of meer van de volgende situaties op u van toepassing is:

    • De verwerking van persoonsgegevens is niet incidenteel. In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners.
    • U verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.
    • U verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens. Zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens.

    In de publicatie Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR leggen de Europese privacytoezichthouders uit hoe zij aankijken tegen de wettelijke uitzonderingen op de verplichting om een verwerkingsregister op te stellen.

    Verwerkingsregister verstrekken

    Bent u verplicht om een register van verwerkingsactiviteiten op te stellen? Dan moet u dit register kunnen verstrekken wanneer de Autoriteit Persoonsgegevens daar om vraagt.

  • Wat moet er in het register van verwerkingsactiviteiten staan?

    Het register van verwerkingsactiviteiten (verwerkingsregister) bevat informatie over de persoonsgegevens die u verwerkt. U mag zelf weten hoe u het register opstelt. Wel schrijft de Algemene verordening gegevensbescherming (AVG) voor welke informatie u als verantwoordelijke of verwerker in het register moet zetten. 

    Verplicht verwerkingsregister

    U bent onder de AVG vrijwel altijd verplicht om een register van verwerkingsactiviteiten (verwerkingsregister) bij te houden.

    Is uw organisatie de verwerkingsverantwoordelijke?

    Stelt uw organisatie zelf het doel en de middelen voor de verwerking van de persoonsgegevens vast? Dan is uw organisatie de verwerkingsverantwoordelijke. De AVG schrijft voor dat u als verwerkingsverantwoordelijke de volgende informatie in het register moet opnemen:

    • De naam en contactgegevens van:
      - uw organisatie of de vertegenwoordiger van uw organisatie;
      - eventuele andere organisaties met wie u gezamenlijk de doelen en middelen van de verwerking heeft vastgesteld;
      - de functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld;
      - eventuele internationale organisaties waar u persoonsgegevens mee deelt.
    • De doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld voor de werving en selectie van personeel, het bezorgen van producten of direct marketing.
    • Een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten.
    • Een beschrijving van de categorieën van persoonsgegevens. Zoals het BSN, NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen.
    • De datum waarop u de gegevens moet wissen (als dat bekend is).
    • De categorieën van ontvangers aan wie u persoonsgegevens verstrekt.
    • Deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het verwerkingsregister.
    • Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.

    Is uw organisatie een verwerker?

    Verwerkt u in opdracht van een verantwoordelijke persoonsgegevens? Bijvoorbeeld omdat u werkt bij een administratiekantoor of een online dienst voor gegevensopslag? Dan moet de volgende informatie in uw verwerkingsregister staan:

    • De naam en contactgegevens van:
      - uw organisatie, of de vertegenwoordiger van uw organisatie, of de verwerkingsverantwoordelijke;
      - een functionaris voor de gegevensbescherming (FG) als u die heeft aangesteld.
    • Een beschrijving van de categorieën van verwerkingen die u in opdracht van iedere verantwoordelijke uitvoert.
    • Eventuele internationale organisaties waarmee u persoonsgegevens deelt.
    • Deelt u de gegevens met een land of internationale organisatie buiten de EU? Dan moet u dit aangeven in het verwerkingsregister.
    • Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.

    Verantwoording afleggen aan AP

    Als de Autoriteit Persoonsgegevens (AP) daar om vraagt, moet u het verwerkingsregister direct kunnen laten zien.

  • Hoe kan ik aantonen dat ik toestemming heb ontvangen?

    Verwerkt u persoonsgegevens gebaseerd op toestemming van de betrokken personen? Dan moet u onder de Algemene verordening gegevensbescherming (AVG) aan de Autoriteit Persoonsgegevens (AP) kunnen laten zien dat u die toestemming daadwerkelijk heeft. Dat maakt onderdeel uit van de verantwoordingsplicht die u onder de AVG heeft.

    Specifiek en geïnformeerd

    Twee van de eisen die de AVG stelt aan ‘toestemming’ zijn dat deze ‘geïnformeerd’ en ‘specifiek’ gegeven is. Om geldige toestemming aan te tonen is het dan ook essentieel dat u kunt laten zien op basis van welke informatie de betrokken personen de toestemming hebben gegeven. Het is dus onvoldoende om alleen de toestemming zelf vast te leggen.

    Online toestemming

    Vraagt u online toestemming aan mensen voor het verwerken van hun persoonsgegevens? Dan kunt u de informatie over het websitebezoek, waarin zij de toestemming hebben gegeven, vastleggen. Deze informatie kunt u combineren met:

    • documentatie over het proces waarin u heeft vastgelegd op welke manier u toestemming ontvangt en vastlegt.
    • een kopie van de informatie die de betrokkenen hebben ontvangen voorafgaand aan de gegeven toestemming.

    Verwijzen naar automatische registratie van toestemming door uw website is onvoldoende om geldige toestemming aan te kunnen tonen. De informatie die aan de betrokkenen is verstrekt, ontbreekt dan namelijk.

    Ten slotte moet u ervoor zorgen dat u voldoende data heeft waarmee u een link tussen de verwerking én de toestemming van een betrokkene kunt aantonen. Let wel, u mag hierbij niet méér data verzamelen dan strikt noodzakelijk is om geldige toestemming aan te kunnen tonen.  

    Meer informatie over de verantwoordingsplicht

  • Wanneer moet u een verwerkersovereenkomst opstellen?

    Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken, moet u met deze organisaties een 'verwerkersovereenkomst' afsluiten.

    Het gaat daarbij om gevallen waarbij u die andere partij de opdracht geeft persoonsgegevens waarvoor u zelf verantwoordelijk bent, te verwerken. Met andere woorden: u bepaalt wat er moet gebeuren met de gegevens en hoe.

    Bijvoorbeeld het laten uitvoeren van uw personeels- en salarisadministratie of wanneer u software gebruikt waarbij persoonsgegevens in een cloud worden opgeslagen.

    Als u als verwerkingsverantwoordelijke aan een andere partij persoonsgegevens verstrekt zodat die andere partij een product of een dienst kan leveren aan een betrokkene, dan is die andere partij zelf verwerkingsverantwoordelijke. De leverancier van het product of de dienst stelt zelf namelijk het doel en de middelen vast voor de verwerking van de persoonsgegevens die hij ontvangt van de opdrachtgever voor het leveren van een product of een dienst aan betrokkene. In dat geval bent u beide verwerkingsverantwoordelijke.

    Verwerkersovereenkomst

    Met een verwerkersovereenkomst sluit u uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken.

    U mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Maar let op: als u de gegevensverwerking door een verwerker laat uitvoeren, dan bent u nog steeds verantwoordelijk voor de naleving van de Algemene verordening gegevensbescherming (AVG).

    Wat moet er in een verwerkersovereenkomst staan?

    In de overeenkomst legt u onder meer het volgende vast:

    • Het onderwerp en de duur van de gegevensverwerking.
    • De aard en het doel van de gegevensverwerking.
    • Het soort persoonsgegevens.
    • De categorieën van betrokkenen.
    • De rechten en verplichtingen van de verwerkingsverantwoordelijke.

    Meer informatie

    Wat moet er in een verwerkersovereenkomst staan?

  • Wat moet er in een verwerkersovereenkomst staan?

    Maakt u gebruik van de diensten van een verwerker? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG).

    U moet de volgende onderwerpen vastleggen:

    Algemene beschrijving

    Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.

    Instructies verwerking

    De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

    Geheimhoudingsplicht

    Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.

    Beveiliging

    De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

    Subverwerkers

    De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.

    In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

    Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).

    Privacyrechten

    De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).

    Andere verplichtingen

    De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

    Gegevens verwijderen

    Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.

    Audits

    De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).

  • Wanneer is een gegevensbeschermingsbeleid volgens de AVG verplicht?

    U bent alleen verplicht om een gegevensbeschermingsbeleid op te stellen als dat in verhouding staat tot uw verwerkingsactiviteiten. Een gegevensbeschermingsbeleid wordt ook wel privacybeleid genoemd. Of u verplicht bent om zo'n privacybeleid op te stellen, hangt af van de concrete omstandigheden. Zoals de aard, de omvang, de context en het doel van de gegevensverwerking.

    Ziekenhuizen, gemeenten, social mediabedrijven en handelsinformatiebureaus zullen daarom vaak verplicht zijn om een gegevensbeschermingsbeleid op te stellen. Ook kleine organisaties kunnen verplicht zijn een gegevensbeschermingsbeleid op te stellen.

    Vrijwillig opstellen van een gegevensbeschermingsbeleid

    Bent u niet verplicht om een gegevensbeschermingsbeleid op te stellen? Dan kan het toch nuttig zijn om dat wél te doen. Het helpt u namelijk om te zien of u voldoende maatregelen heeft genomen om de persoonsgegevens van uw klanten, patiënten, cliënten e.d. te beschermen. Daarnaast is het een manier waarmee u aan zowel uw doelgroep als de Autoriteit Persoonsgegevens kunt laten zien dat u voldoet aan de AVG.

    Let op: een gegevensbeschermingsbeleid is iets anders dan een privacyverklaring. Alle organisaties die persoonsgegevens verwerken, moeten mensen heldere informatie geven over de persoonsgegevens die zij verwerken en voor welk(e) doel(en) zij deze gegevens verwerken. De meest aangewezen manier hiervoor is het opstellen van een online privacyverklaring.

    Lees meer over wat er in een gegevensbeschermingsbeleid moet staan.

  • Wat moet er volgens de AVG in een gegevensbeschermingsbeleid staan?

    In de Algemene verordening gegevensbescherming (AVG) staat niet precies omschreven welke gegevens u in uw gegevensbeschermingsbeleid (ook wel privacybeleid genoemd) moet opnemen. Uit het beleid moet in ieder geval wèl blijken hoe u voldoet aan de AVG. Dat is onderdeel van uw verantwoordingsplicht.

    Informatie gegevensbeschermingsbeleid

    U kunt laten zien hoe u voldoet aan de AVG door onder andere deze informatie op te nemen: 

    • een omschrijving van de categorieën persoonsgegevens die u verwerkt;
    • een beschrijving van de doeleinden waarvoor u persoonsgegevens verwerkt en wat de juridische grondslag daarvan is;
    • hoe u voldoet aan de beginselen van verwerking van persoonsgegevens. Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk;
    • welke rechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (AP). Maar ook het recht op inzage, wijzigen, wissen en het ontvangen van alle geregistreerde gegevens;
    • welke organisatorische en technische maatregelen u genomen heeft om de persoonsgegevens te beveiligen;
    • hoe lang u de persoonsgegevens bewaart.

    Het opstellen van een gegevensbeschermings- of privacybeleid is niet altijd verplicht. Toch kan het nuttig zijn om zo’n beleid wel op te stellen.

  • Hoe bepaal ik welke maatregelen ik moet nemen om mijn verwerkingen te beveiligen?

    In de Algemene verordening gegevensbescherming (AVG) staat dat u persoonsgegevens goed moet beveiligen. Daarom moet u eerst goed in kaart brengen welke verwerkingen u uitvoert. Daarna bepaalt u welke technische en organisatorische maatregelen nodig zijn om die verwerkingen goed te beveiligen.

    Waarmee moet u rekening houden?

    Uw beveiligingsniveau moet zijn afgestemd op de risico’s die de gegevensverwerking met zich meebrengt. Bijvoorbeeld risico’s door vernietiging, verlies, wijziging of ongeoorloofde verwerking van persoonsgegevens. Of dat nu per ongeluk of doelbewust gebeurt. U moet daarbij rekening houden met de volgende punten:

    • De stand van de techniek.
    • De uitvoeringskosten.
    • De aard, de omvang, de context en de verwerkingsdoeleinden van de verwerking.
    • Hoe waarschijnlijk en ernstig het is voor de betrokken personen als er een beveiligingslek ontstaat.

    Welke maatregelen moet u in elk geval overwegen?

    Het is belangrijk dat u in elk geval maatregelen overweegt die nodig zijn om:

    • de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.
    • bij een incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen.
    • te testen of de genomen maatregelen nog steeds effectief zijn. Een procedure om met vaste regelmaat te testen of de genomen beveiligingsmaatregelen nog steeds voldoende effectief zijn.

    Verantwoordingsplicht

    Onder de AVG geldt de verantwoordingsplicht. Dat betekent dat u onder meer moet kunnen aantonen dat u voldoende maatregelen heeft genomen om de persoonsgegevens die u verwerkt te beveiligen. De Autoriteit Persoonsgegevens kan hier naar vragen.

  • Wat zijn voorbeelden van organisatorische beveiligingsmaatregelen?

    Beveiliging is maatwerk. Dat betekent dat er geen standaardpakket aan organisatorische maatregelen te geven is waaraan u moet voldoen.

    Bovendien is beveiligen een continu proces (plan, do, check, act). U moet blijven monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn. Onderstaande voorbeelden helpen u op weg.

    Voorbeelden van organisatorische maatregelen:

     

    • Toewijzen van verantwoordelijkheden voor informatiebeveiliging.
    • Bevorderen van beveiligingsbewustzijn bij bestaande en nieuwe medewerkers.
    • Opstellen van procedures om op gezette tijdstippen de beveiligingsmaatregelen te testen, te beoordelen en te evalueren.
    • Regelmatige controle van de logbestanden.
    • Opstellen van een protocol voor de afhandeling van datalekken en beveiligingsincidenten.
    • Sluiten van geheimhoudings- en verwerkersovereenkomsten.
    • Beoordelen of u dezelfde doelen kunt behalen met minder persoonsgegevens.
    • Minder mensen in uw organisatie toegang geven tot persoonsgegevens.
    • Per verwerking het besluitvormingsproces en de achterliggende overwegingen vastleggen.
  • Wat zijn voorbeelden van technische beveiligingsmaatregelen?

    Beveiliging is maatwerk. Dat betekent dat er geen standaardpakket aan technische maatregelen te geven is waaraan u moet voldoen.

    Bovendien is beveiligen een continu proces (plan, do, check, act). U moet blijven monitoren of de genomen beveiligingsmaatregelen nog adequaat zijn. Onderstaande voorbeelden helpen u op weg.

    Voorbeelden van technische maatregelen:

    • Logische en fysieke (toegangs-)beveiliging en beveiliging van apparatuur (denk niet alleen aan kluizen en portiers, maar ook aan firewalls en netwerksegregatie);
    • Technisch beheer van de (zo beperkt mogelijke) autorisaties en bijhouden van logbestanden;
    • Beheer van technische kwetsbaarheden (patch management);
    • Software, zoals browsers, virusscanners en operating systems up-to- date houden;
    • Back-ups maken waarmee u de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg of u dubbele systemen nodig heeft zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt;
    • Automatisch verwijderen van verouderde gegevens:
    • Versleuteling van gegevens;
    • Hashing. Organisaties kunnen hashing gebruiken als methode om persoonsgegevens te pseudonimiseren;
    • Minder gegevens op uw servers verwerken en meer gegevensverwerkingen laten plaatsvinden op de apparatuur van de gebruiker zelf, zoals een smartphone.

    Maakt u gebruik van HTTPS?

    Verzamelt u persoonsgegevens via een website? Bijvoorbeeld door middel van webformulieren? Dan moet u uw website met HTTPS beveiligen. Dit zorgt ervoor dat het internetverkeer tussen bezoekers van uw website en uw servers niet kan worden onderschept. Als u geen HTTPS gebruikt is de beveiliging van persoonsgegevens die worden verstuurd niet gegarandeerd.

Toon meer vragen en antwoorden-  Toon minder vragen en antwoorden