Verantwoordingsplicht
De Algemene verordening gegevensbescherming (AVG) legt de verantwoordelijkheid bij u als organisatie om aan te tonen dat u aan de privacyregels voldoet. Dat heet de verantwoordingsplicht (accountability).
Op deze pagina
Wat houdt de verantwoordingsplicht in?
De verantwoordingsplicht houdt bijvoorbeeld in dat u moet kunnen aantonen dat een verwerking van persoonsgegevens voldoet aan de belangrijkste uitgangspunten van de AVG. Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen heeft genomen om de persoonsgegevens te beveiligen.
Let op: U bent verplicht verantwoording af te leggen over uw verwerkingen wanneer de Autoriteit Persoonsgegevens (AP) daarnaar vraagt. Zorg daarom dat u aan uw verantwoordingsplicht voldoet.
Verplichte en extra maatregelen
In de AVG staat een aantal verplichte maatregelen genoemd waarmee u aan uw verantwoordingsplicht voldoet. Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.
Verplichte maatregelen
De verplichte maatregelen die de AVG concreet noemt zijn:
- Een verwerkingsregister bijhouden.
- Een data protection impact assessment (DPIA) uitvoeren bij gegevensverwerkingen met een hoog privacyrisico.
- Een datalekregister bijhouden. Hierin neemt u ook de datalekken op die u niet hoeft te melden.
- Aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer u voor deze verwerking toestemming nodig heeft.
- Goed kunnen onderbouwen waarom u ervoor gekozen heeft om al dan niet een functionaris gegevensbescherming (FG) aan te stellen wanneer onduidelijk is of u verplicht bent om een FG aan te stellen.
- Een privacyverklaring opstellen. Let op: dit is niet hetzelfde als een privacybeleid.
Extra maatregelen
Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen waarmee u aantoont dat u voldoet aan de eisen van de AVG. Bijvoorbeeld:
- Aansluiten bij een gedragscode.
- Een bepaald certificaat behalen.
- Een specifiek ICT-beveiligingsbeleid hanteren.
- Verantwoording afleggen over de verwerking van persoonsgegevens in uw jaarverslag of in een speciaal privacy-jaarverslag. Hulp nodig? Bekijk de Handreiking privacy in een jaarverslag.
Hoewel deze maatregelen niet verplicht zijn, helpen zij u wel om aan de AP te laten zien dat u voldoet aan de eisen van de AVG. Daarom moedigen wij deze vrijwillige maatregelen aan.
Een privacybeleid maken
U bent alleen verplicht om een privacybeleid op te stellen als dat in verhouding staat tot uw verwerkingsactiviteiten. Of u verplicht bent om een privacybeleid op te stellen, hangt af van de concrete omstandigheden. Zoals de aard, de omvang, de context en het doel van de gegevensverwerking.
Bijvoorbeeld ziekenhuizen, gemeenten, socialmediabedrijven en handelsinformatiebureaus zullen vaak verplicht zijn om een privacybeleid op te stellen. Ook kleine organisaties kunnen verplicht zijn een privacybeleid op te stellen.
Let op: Een privacybeleid is iets anders dan een privacyverklaring. Een privacyverklaring is altijd verplicht. Iedere organisatie is verplicht om met een privacyverklaring mensen heldere informatie te geven over de persoonsgegevens die de organisatie verwerkt en voor welke doelen dat gebeurt.
Vrijwillig privacybeleid opstellen
Bent u niet verplicht om een privacybeleid op te stellen? Dan kan het toch nuttig zijn om dat wel te doen. Het helpt u namelijk om te zien of u voldoende maatregelen heeft genomen om de persoonsgegevens van bijvoorbeeld uw klanten, patiënten of cliënten te beschermen. Daarnaast is het een manier waarmee u aan zowel uw doelgroep als de AP kunt laten zien dat u voldoet aan de AVG.
Inhoud privacybeleid
In de AVG staat niet precies omschreven welke gegevens u in uw privacybeleid moet opnemen. Uit het beleid moet in ieder geval blijken hoe u voldoet aan de AVG. Dat kunt u laten zien door onder andere deze informatie op te nemen:
- Een omschrijving van de categorieën persoonsgegevens die u verwerkt.
- Een beschrijving van de doeleinden waarvoor u persoonsgegevens verwerkt. En wat de wettelijke grondslag daarvoor is.
- Hoe u voldoet aan de beginselen van verwerking van persoonsgegevens. Zoals de verplichting om niet meer gegevens te verwerken dan noodzakelijk (dataminimalisatie).
- Welke privacyrechten betrokkenen hebben en hoe zij die rechten kunnen uitoefenen. Zoals het recht om een klacht in te dienen bij de AP. Maar ook het recht op inzage, wijzigen, verwijderen en het ontvangen van alle geregistreerde gegevens.
- Welke organisatorische en technische maatregelen u genomen heeft om de persoonsgegevens te beveiligen.
- Hoe lang u de persoonsgegevens bewaart.
Tips voor privacybeleid
De AP heeft 6 tips voor het opstellen van een privacybeleid. Dat zijn:
- Beoordeel of u het verplicht bent.
- Gebruik expertise.
- Leg het vast in 1 document.
- Wees concreet.
- Maak het beleid bekend.
- Niet verplicht? Toch raadzaam.
Beoordeel of u het verplicht bent
Of uw organisatie een privacybeleid moet opstellen, is afhankelijk van de verwerking. Ga na welke soort gegevens uw organisatie verwerkt en op welke schaal. Verwerkt u bijvoorbeeld op grote schaal bijzondere persoonsgegevens? Dan moet u een privacybeleid opstellen en hanteren. Het is uw eigen verantwoordelijkheid om deze beoordeling te maken. Wacht niet totdat de AP ernaar vraagt.
Gebruik expertise
Gebruik de expertise in uw organisatie om tot een goed privacybeleid te komen. De functionaris gegevensbescherming (FG) kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen. Het privacybeleid moet voldoen aan de AVG en werkbaar zijn in de praktijk.
Ondervindt uw organisatie problemen met het invullen van het beleid? Dan kunt u altijd een externe expert om advies vragen over de normen uit de AVG. En over de specifieke uitwerking van deze normen in uw organisatie.
Leg het vast in 1 document
Leg het privacybeleid vast in 1 document. Voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een privacybeleid. De informatie is dan weliswaar beschikbaar, maar het is overzichtelijker als het privacybeleid een compleet beeld geeft.
Wees concreet
Een professioneel privacybeleid vormt een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van uw organisatie. Normen uit de AVG herhalen is niet voldoende.
Maak het beleid bekend
Het is niet verplicht om uw privacybeleid te publiceren. Maar het is wel aan te raden. Dit maakt ook voor betrokkenen duidelijk hoe uw organisatie met hun persoonsgegevens omgaat.
Let bij de publicatie wel op dat er geen informatie in uw privacybeleid staat waarmee kwaadwillenden hun voordeel kunnen doen. Zoals informatie over de beveiliging.
Niet verplicht? Toch raadzaam
Is uw organisatie niet verplicht om een privacybeleid te hebben? Dan is het toch aan te raden om wel een privacybeleid op te stellen. Hiermee toont u aan dat u de persoonsgegevens van betrokkenen wilt beschermen.
Meer informatie
Voor meer informatie over het privacybeleid, zie het Onderzoek privacybeleid van de AP.
Een verwerkingsregister bijhouden
In het verwerkingsregister staat informatie over de persoonsgegevens die u verwerkt. Het opstellen van een verwerkingsregister (AVG: 'register van verwerkingsactiviteiten') is onder de AVG vaak een verplichte maatregel. Of u een verwerkingsregister moet opstellen, hangt af van de omvang van uw organisatie en het type gegevens dat u verwerkt.
Heeft uw organisatie meer dan 250 medewerkers? Dan bent u sowieso verplicht om een verwerkingsregister bij te houden.
Heeft uw organisatie minder dan 250 medewerkers? Dan moet u een verwerkingsregister opstellen als een of meer van deze situaties op u van toepassing zijn:
- De verwerking van persoonsgegevens is niet incidenteel. Let op: In de praktijk zijn verwerkingen zelden incidenteel. Denk bijvoorbeeld aan de persoonsgegevens van medewerkers die u verwerkt. Of van uw klanten, cliënten, patiënten of inwoners.
- U verwerkt persoonsgegevens die een hoog risico inhouden voor de rechten en vrijheden van de personen van wie u persoonsgegevens verwerkt.
- U verwerkt persoonsgegevens die vallen onder de categorie bijzondere persoonsgegevens. Bijvoorbeeld gegevens over gezondheid, godsdienst of politieke voorkeur.
U mag zelf weten hoe u het register opstelt.
Wel schrijft de AVG voor welke informatie u als verwerkingsverantwoordelijke of verwerker in het verwerkingsregister moet zetten.
Verwerkingsregister van verwerkingsverantwoordelijke
De AVG schrijft voor dat u als verwerkingsverantwoordelijke deze informatie in het register moet opnemen:
Naam en contactgegevens
De naam en contactgegevens van:
- uw organisatie of de vertegenwoordiger van uw organisatie;
- eventuele andere organisaties met wie u gezamenlijk de doelen van en middelen voor de verwerking heeft vastgesteld (gezamenlijke verantwoordelijkheid);
- de functionaris gegevensbescherming (FG), als u die heeft aangesteld;
- eventuele internationale organisaties waarmee u persoonsgegevens deelt.
Doeleinden
De doelen waarvoor u de persoonsgegevens verwerkt. Bijvoorbeeld de werving en selectie van personeel, het bezorgen van producten of direct marketing.
Tip: Het is aan te raden om hierbij ook de grondslag te vermelden voor elk van uw verwerkingen. U bent dit niet verplicht volgens de AVG, maar het kan wel helpen om aan uw verantwoordingsplicht te voldoen.
Betrokkenen
Een beschrijving van de categorieën van personen van wie u gegevens verwerkt. Bijvoorbeeld uitkeringsgerechtigden, klanten of patiënten.
Persoonsgegevens
Een beschrijving van de categorieën van persoonsgegevens. Zoals het burgerservicenummer (BSN), NAW-gegevens, telefoonnummers, camerabeelden of IP-adressen.
Bewaartermijn
De datum waarop u de gegevens moet wissen (als dat bekend is).
Ontvangers
De categorieën van ontvangers waaraan u persoonsgegevens verstrekt.
Buiten EER
Deelt u de gegevens met een land of internationale organisatie buiten de EER? Dan moet u dit aangeven in het verwerkingsregister.
Beveiliging
Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.
Verwerkingsregister van verwerker
Verwerkt u in opdracht van een verwerkingsverantwoordelijke persoonsgegevens? Bijvoorbeeld als administratiekantoor of online dienst voor gegevensopslag? Dan moet deze informatie in uw verwerkingsregister staan:
Naam en contactgegevens
De naam en contactgegevens van:
- uw organisatie, of de vertegenwoordiger van uw organisatie, of de verwerkingsverantwoordelijke;
- de functionaris gegevensbescherming (FG), als u die heeft aangesteld.
Verwerkingen
Een beschrijving van de categorieën van verwerkingen die u in opdracht van iedere verwerkingsverantwoordelijke uitvoert.
Buiten EER
Deelt u de gegevens met een land of internationale organisatie buiten de EER? Dan moet u dit aangeven in het verwerkingsregister.
Beveiliging
Een algemene beschrijving van de technische en organisatorische maatregelen die u heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.
Meer informatie
- Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR. Hierin leggen de Europese privacytoezichthouders uit hoe zij aankijken tegen de wettelijke uitzonderingen op de verplichting om een verwerkingsregister op te stellen.
Zorg voor goede beveiliging
In de AVG staat dat u persoonsgegevens goed moet beveiligen. Daarom moet u eerst goed in kaart brengen welke verwerkingen u uitvoert. Daarna bepaalt u welke technische en organisatorische maatregelen nodig zijn om die verwerkingen goed te beveiligen.
U moet kunnen aantonen dat u voldoende maatregelen heeft genomen om de persoonsgegevens die u verwerkt te beveiligen.
Privacy by design en default
U kunt een zorgvuldige omgang met persoonsgegevens organisatorisch en technisch stimuleren. Dit doet u met ‘privacy by design’ of ‘privacy by default’.
Privacy by design
Privacy by design (privacy door ontwerp) houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat u persoonsgegevens goed beschermt. En dat u de gegevens niet langer bewaart dan nodig is voor het doel van de verwerking.
Privacy by default
Privacy by default (privacy door standaardinstellingen) houdt in dat de standaardinstellingen van uw product of dienst privacyvriendelijk zijn. Dit betekent dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.
Bijvoorbeeld door:
- een app die u aanbiedt niet de locatie van gebruikers te laten registeren als dat niet nodig is;
- op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
- als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.
Meer informatie
Voor meer informatie over privacy by design & privacy by default, zie deze publicaties van de EDPB:
Snelle antwoorden
Voor organisaties
2 vragen en antwoorden
Is een verwerkingsregister verplicht voor mij als kleine zorgpraktijk of zorgaanbieder?
Ja, meestal wel. Volgens de AVG zijn organisaties met minder dan 250 werknemers verplicht om een verwerkingsregister op te stellen wanneer zij persoonsgegevens verwerken:
- die een hoog risico inhouden voor de rechten en vrijheden van mensen; en/of
- waarvan de verwerking niet incidenteel is; en/of
- die vallen onder de categorie bijzondere persoonsgegevens.
Kan ik als gemeente, waterschap of provincie de verwerkingen van meerdere bestuursorganen opnemen in 1 verwerkingsregister?
Ja, dat kan. Het staat bestuursorganen vrij om gezamenlijk 1 verwerkingsregister op te stellen. Wel moet uit het verwerkingsregister duidelijk blijken welk bestuursorgaan de verwerkingsverantwoordelijke is (dat kunnen er ook meerdere zijn) voor welke gegevensverwerking.
Bekijk ook
Meer informatie
- AP-handreiking privacy in een jaarverslag
- AP-handreiking 'De RvC of RvT en privacy: uw rol als toezichthouder'
- AP-onderzoek privacybeleid
- Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR
- Guidelines on data protection by design and by default
- Nederlandse vertaling guidelines privacy by design en default