Privacy checks & balances

Wat moet je als organisatie doen?

Wat kunnen personen aan je vragen?

Taken van de autoriteit

Taken van de organisatie

 
Checks & balances voor de organisatie

Waaraan moet je als organisatie voldoen als je persoonsgegevens verwerkt? Hierbij een kort overzichtje van de zaken die je moet inrichten:

 

Transparantie​ - Je bent verplicht de betrokkene te informeren over wat je met zijn of haar gegevens gaat doen. Zeg wat je doet! Dit vindt veelal plaats middels een privacyverklaring en indien nodig toestemmingsprocedure.

Minderjarigen - Zorg dat je toestemming van ouders hebt als je gegevens van minderjarigen verwerkt.

Ketenverantwoordelijkheid​ - Indien je persoonsgegevens ter beschikking stelt of deelt met een andere entiteit dan dien je je verantwoordelijkheid te nemen. Hierbij is het vaak zaak dat de benodigde afspraken worden vastgelegd in een overeenkomst (verwerkersovereenkomst of gegevensleveringsovereenkomst).

Beschermende maatregelen - Je dient maatregelen te nemen die ervoor zorgdragen dat de gegevens binnen je organisatie veilig worden verwerkt en dat de privacy bescherming is gewaarborgd.

Verwerkingsregister - Je bent verplicht een register bij te houden van alle persoonsgegevens die je verwerkt, wat je ermee doet, hoe lang je ze bewaart, welke maatregelen je hebt genomen om de veiligheid te waarborgen en met wie je de persoonsgegevens eventueel deelt.

Aantoonbaar compliant - Je moet kunnen aantonen dat je persoonsgegevens volgens de wettelijke eisen verwerkt. Dit betekent dat je privacybeschermende maatregelen en processen dient vast te leggen.

Melden van datalekken - Indien gegevens die je van de betrokkene verwerkt in verkeerde handen vallen (onbevoegden) dan dien je hiervan melding te maken. De melding moet onmiddellijk, uiterlijk binnen 72 uur, worden gedaan.

Register datalekken - Naast het melden van datalekken dien je een register bij te houden van alle datalekken die hebben plaatsgevonden binnen je organisatie.

Risico bepaling & DPIA -  De risico's van het verwerken van persoonsgegevens dienen in kaart te worden gebracht en in voorkomende gevallen kan een Data Protection Impact Assessment (DPIA) vereist zijn. 

Functionaris voor de Gegevensbescherming - Het kan verplicht zijn dat je een Functionaris voor de Gegevensbescherming benoemt (FG)

Training en awareness - Train en informeer je medewerkers over hoe ze rechtmatig met persoonsgegevens omgaan.

Privacy by Design - Systemen, middelen en processen dienen zo te zijn ingericht dat bij gebruik privacybescherming automatisch wordt meegenomen. 

Persoonsgegevens buiten EU - Verwerk geen persoonsgegevens buiten de EU. Als dat wel gebeurt dien je specifieke maatregelen te nemen.

Rechten van de betrokkenen

Wat kunnen personen aan je vragen?

 

Toestemming intrekken​ - Een betrokkene heeft het recht zijn toestemming intrekken. Dit betekent dat je de verwerking waarvoor toestemming is gegeven ook moet kunnen stoppen.

Recht op inzage - Personen kunnen kopieën opvragen van de gegevens die je van hen verwerkt. De wetgever stelt eisen aan de informatie die je in dit kader dient te verstrekken.

Recht op wijziging en vernietiging​ - Naast het doorvoeren van wijzigingen is het belangrijk dat je als organisatie ook persoonsgegevens kunt verwijderen uit je systemen als de betrokkene hier naar vraagt.

Recht op dataportabiliteit - Dit betekent dat de betrokkene de gegevens die je over hem verwerkt mee moet kunnen nemen naar een andere organisatie of instelling. 

Taken autoriteit

Wat kun je van de AP verwachten?

 
De autoriteit persoonsgegevens

De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Onder toezicht vallen diverse activiteiten, zoals onderzoek doen. Een andere belangrijke taak van de AP is adviseren over nieuwe regelgeving.

De AP wil graag weten of organisaties zich in de praktijk houden aan de wettelijke privacyregels. Daarom vraagt de AP mensen een tip te geven als hun iets opvalt. De AP ontvangt jaarlijks zo'n 8000 tips.

 

Deze tips worden, in combinatie met onze kennis van het toezichtdomein, gebruikt om te kiezen waar onderzoeken worden gedaan. Daarbij speelt de ernst van de overtreding een belangrijke rol.

Op basis van tips kan kan de AP besluiten om niet direct een officieel onderzoek te starten, maar een zogeheten alternatieve interventie in te zetten. Daarbij gaat de AP een gesprek aan met een organisatie die mogelijk de wet overtreedt of wordt een brief gestuurd naar de betreffende organisatie. Zo’n alternatieve interventie kan al genoeg zijn om de overtreding te laten beëindigen.

Wat kun je van de AP verwachten?

Voorlichting - De AP heeft als taak helderheid te verschaffen aan organisaties over de uitleg van wettelijke normen, bijvoorbeeld in thematische beleidsregels (voorheen richtsnoeren) of zienswijzen.

Alternatieve interventie - De AP gaat een gesprek aan met organisaties waarvan wordt vermoed dat zij niet privacy compliant werken. Dit vermoeden kan ontstaan door bijvoorbeeld een binnenkomende klacht, tip of datalek. De AP kan er ook voor kiezen een brief te sturen waaraan de organisatie gehoor moet geven. Wordt er geen gehoor gegeven aan de aanwijzingen dan kan een onderzoek volgen.

Onderzoek - De AP kan onderzoek doen uit eigen beweging naar mogelijke overtredingen van de wet. Heeft de AP tijdens het onderzoek overtredingen geconstateerd die voortduren, dan kan de AP handhavend optreden.

Voorafgaande onderzoeken - Dit kan het geval zijn indien organisaties persoonsgegevens verwerken waaraan bijzondere risico’s zijn verbonden.