Veranderingen per 25 mei 2018

feed Nieuws
edit_note 22 maart 2018

Veranderingen per 25 mei 2018

Met de inwerkingtreding van de AVG verandert onder meer het volgende voor organisaties:
· organisaties hoeven verwerkingen van persoonsgegevens niet meer te melden bij de Autoriteit Persoonsgegevens (AP). Organisaties moeten in plaats daarvan een verwerkingsregister bijhouden;
·  organisaties kunnen verplicht zijn een data protection impact assessment (DPIA) uit te voeren;
·  organisaties kunnen verplicht zijn een functionaris gegevensbescherming (FG) aan te stellen;

Verantwoordingsplicht

Organisaties hebben onder de AVG een grotere verantwoordingsplicht. Dit houdt onder andere in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.

Daarnaast moeten organisaties kunnen aantonen dat het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer voor een verwerking toestemming nodig is.

 Verwerkingsregister

Een van de belangrijkste onderdelen van de verantwoordingsplicht is het bijhouden van een register van de verwerkingsactiviteiten. Het verwerkingsregister is onder andere nodig om aan te tonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid.

Organisaties moeten dit register op verzoek van AP kunnen overhandigen, zodat zij kan controleren of organisaties de juiste maatregelen hebben getroffen om aan de AVG te voldoen. Verder dient het register schriftelijk opgesteld te zijn, waaronder in een elektronisch format. Naast het opstellen, moet het register uiteraard ook up-to date worden gehouden.

Het verwerkingsregister van verantwoordelijken moet in elk geval de volgende informatie bevatten:

· de naam en contactgegevens van de verantwoordelijke en van de functionaris voor gegevensbescherming;
· de verwerkingsdoeleinden;
· een beschrijving van de categorieën van betrokkenen;
· een beschrijving van de categorieën van persoonsgegevens;
· de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt;
· doorgiften van persoonsgegevens aan landen buiten de EU en aan internationale organisaties;
· de bewaartermijnen van de verschillende categorieën persoonsgegevens; en
· een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen.
Op grond van de AVG zijn ‘bewerkers’ (onder de AVG ‘verwerkers’ genoemd) tevens verplicht om een verwerkingsregister bij te houden. Dit verwerkingsregister hoeft echter minder informatie te omvatten dan het register van verantwoordelijken, namelijk:

· de naam en contactgegevens van de verantwoordelijke en van de functionaris voor gegevensbescherming;
· de categorieën van verwerkingen die voor elke verantwoordelijke zijn uitgevoerd;
· doorgiften van persoonsgegevens aan landen buiten de EU en aan internationale organisaties; en
· een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen die zijn getroffen.

Kleine organisaties

Om rekening te houden met de specifieke situatie van kleine organisaties maakt de AVG een uitzondering op de documentatieplicht. Organisaties met minder dan 250 personen in dienst hoeven geen verwerkingsregister bij te houden, tenzij de verwerking een risico inhoudt voor de rechten en vrijheden van betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van persoonsgegevens of persoonsgegevens in verband met strafbare feiten betreft. Met name de voorwaarde dat de verwerking ‘incidenteel’ moet zijn brengt zich mee dat de meeste kleine organisaties in de praktijk toch óók een verwerkingsregister moeten bijhouden.

Vergelijkbaar

Wellicht interessant