De Documentatieplicht van de AVG (GDPR)

Vanaf 25 mei 2018 bent u verplicht voldoende ‘accountability’ te tonen bij het verwerken van persoonsgegevens – ook wel de verantwoordings- of documentatieplicht genoemd (recordkeeping obligation). Middels deze documentatieplicht demonstreert u dat u de beginselen voor een correcte gegevensverwerking in acht neemt, zoals die staan opgesomd in art. 5 AVG: 
  • rechtmatigheid, behoorlijkheid en transparantie;
  • doelbinding;
  • dataminimalisatie;
  • juistheid van gegevens;
  • opslagbeperking; en
  • een passend beveiligingsniveau.

U moet met één druk op de knop kunnen bewijzen aan de Autoriteit Persoonsgegevens dat u zich aan de privacyregels houdt. Een dergelijke verantwoording afleggen gaat het makkelijkst indien u een ‘paper trail’ van de betreffende verwerking(en) hebt bijgehouden. Dit bereikt u door een register bij te houden van alle verwerkingen die binnen uw organisatie plaatsvinden. In dat register van verwerkingsactiviteiten neemt u op (art. 30 AVG):
  • naam en contactgegevens van de verwerkingsverantwoordelijke of functionaris gegevensbescherming;
  • eventuele derden waarmee u de gegevens deelt (binnen/buiten EU);
  • de doeleinden van de verwerking (bijv. recruitment/direct marketing);
  • de categorieën van personen wiens gegevens u verwerkt (bijv. klanten/patiënten);
  • de categorieën van persoonsgegevens (bijv. BSN/camerabeelden/IP-adressen);
  • de bewaartermijn;
  • de grondslag van de verwerking (bijv. toestemming/uitvoering overeenkomst);
  • beschrijving van de technische en organisatorische maatregelen die u neemt (bijv. wie toegang tot de gegevens heeft en hoe dit is gewaarborgd);
  • eventuele datalekken die hebben plaatsgevonden en de maatregelen die u toen hebt genomen.

In de volgende gevallen zijn organisaties verplicht een dergelijk register bij te houden: (i) bij meer dan 250 werknemers; (ii) bij structurele verwerking; (iii) bij verwerking van bijzondere gegevens; (iv) bij verwerking die een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Voor anderen is het in principe optioneel, maar zeker wel aan te raden. Waarom?

Niet alleen is het bijhouden van een dergelijk register in het kader van compliance richting de Nederlandse toezichthouder onmisbaar, maar ook om aan verzoeken van betrokkenen te voldoen indien zij gebruik maken van hun rechten, zoals het recht op inzage of het recht op gegevenswissing. Aan deze verzoeken dient de verwerkingsverantwoordelijke zonder onredelijke vertraging, maar uiterlijk binnen één maand te voldoen.

Naast een register bestaan andere maatregelen waarmee u kunt aantonen dat u de verantwoordingsplicht naleeft. Denk aan: het aansluiten bij een gedragscode; het hanteren van een specifiek ICT-beveiligingsbeleid; of in uw jaarverslag verantwoording afleggen over de gegevensverwerking.

Bron: Sophie den Held, 18 oktober 2017

Meer weten? De Privacy Desk van Ekelmans & Meijer Advocaten geeft u graag advies. Lees ook mijn 5 tips voor GDPR compliance (ENG): Privacy Desk GDPR 5 Compliance Tips.
 
Privacy Desk Alert - oktober 2017
kennis