Overzicht Actueel

AVG deel 9: De papierwinkel van de AVG

afbeelding avg

Accountability (verantwoording) is misschien wel het meest besproken onderwerp van de AVG (de nieuwe privacywet, ook wel GDPR). Organisaties die ‘verantwoordelijke’ zijn onder de AVG moeten kunnen aantonen dat zij voldoen aan de AVG. #Hoedan? Dat mag je grotendeels zelf bepalen. Wat als voordeel heeft dat je systemen,  beleid en maatregelen kunt implementeren die bij jouw organisatie passen.

Als onderdeel van de accountability moeten organisaties een ‘register van verwerkingsactiviteiten’ bijhouden. Dit geldt niet alleen voor verantwoordelijken, maar ook voor verwerkers. In dit register moet je bijvoorbeeld bijhouden welke gegevens je voor marketingdoeleinden verwerkt, of voor welke klanten je een campagne uitvoert. Om onze leden op weg te helpen hebben wij van deel 9 in onze AVG voorlichting een voorbeeld register gemaakt, in de vorm van een Excel sheet. Hierin staan de wettelijk vereiste onderdelen die in het register moeten staan – en nog een paar extra onderdelen.

Wat staat er in de wet over het register?

Zowel de verantwoordelijke (bv een adverteerder) als de verwerker moeten een register bijhouden. De verantwoordelijke moet het volgende bijhouden:

  • Eigen contactgegevens, en eventueel contactgegevens van de Functionaris Gegevensbescherming (FG);
  • Doeleinden van de verwerking;
  • Categorieën van betrokkenen;
  • Categorieën van ontvangers;
  • Eventueel doorgifte naar buiten de EU (zo ja, welke land en onder welke waarborgen); en,
  • Bewaartermijn van de persoonsgegevens.

De oplettende lezer ziet dat dit lijstje lijkt op de oude melding die verantwoordelijken moesten doen onder de huidige privacywetgeving bij de Autoriteit Persoonsgegevens (AP). Die melding staat niet meer in de AVG, maar organisaties moeten zelf die informatie bijhouden. De AP controleert overigens ook niet meer op die oude meldingen.

De verwerker (bv een ESP of callcenter) heeft onder de AVG een ander lijstje. Zij moet het volgende bijhouden:

  • Eigen contactgegevens en contactgegevens van verantwoordelijke waarvoor zij werkt;
  • Eventueel contactgegevens van de FG;
  • Categorieën van verwerkingen voor iedere verantwoordelijke (bijvoorbeeld het verzenden van een e-mail campagne, of het personaliseren van een website);
  • Eventueel doorgifte naar buiten de EU (zo ja, welke land en onder welke waarborgen); en,
  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Verwerkers hoeven onder de Wbp geen melding te doen bij de toezichthouder en voor die organisaties is deze administratieplicht dus nieuw. Hoewel in de praktijk veel organisaties al een soortgelijk documentatie management systeem in werking zullen hebben.

 Extra onderdelen

De verantwoordingsplicht is breder dan alleen het register. Verantwoordelijke partijen moeten in feite kunnen aantonen dat zij aan de AVG voldoen. Daarom is dit register een handige plek om meer onderdelen bij te houden dan alleen de wettelijk verplichte onderdelen. Als verantwoordelijke moet je bijvoorbeeld kunnen aantonen dat je een rechtmatige grondslag hebt voor de verwerking van persoonsgegevens. En als verwerker moet je bijvoorbeeld  je subverwerkers in kaart hebben en daar een subverwerkersovereenkomst mee afsluiten. In het DDMA voorbeeld hebben we daarom een aantal extra onderdelen opgenomen.

Vorm register

Er zijn geen wettelijke eisen gesteld aan hoe je dit register inricht. Dus of je deze informatie bijhoudt in een Excel, of vastlegt in je DMP, voor de AVG maakt het niet uit. Zolang je de informatie maar goed bijhoudt en eventueel aan de toezichthouder kan laten zien als zij daarom vragen.

Wil je direct aan de slag? Vraag dan hier AVG deel 9 aan.