AVG Uitgediept #8: Accountability en de documentatieplicht
Transparantie, accountability en controle over de persoonsgegevens zijn de belangrijke pijlers binnen de nieuwe privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). In deze achtste bijdrage zal ik uitleggen wat met de accountability wordt bedoeld en hoe organisaties daar vorm aan kunnen geven.
Accountability
Organisaties die persoonsgegevens verwerken hebben een verantwoordingsplicht. Dit houdt in dat het enkel voldoen aan de privacywetgeving niet voldoende is; zij zullen te allen tijde actief moeten kunnen aantonen dat zij voldoen aan de privacywetgeving. Organisaties zullen dus zoveel mogelijk - zo niet alles - moeten documenteren. De verantwoordingsplicht komt met zoveel woorden terug in artikel 5 lid 2 AVG. Artikel 5 lid 1 behelst de beginselen inzake de verwerking van persoonsgegevens. Deze beginselen komen deels overeen met hetgeen in de eerste blog is besproken, maar zijn net wat uitgebreider. Lid 2 bepaalt vervolgens dat de verwerkingsverantwoordelijke verantwoordelijk is voor het naleven van deze beginselen en dit ook moet kunnen aantonen. Met alleen naleven komt u er dus niet. Bovendien is de verantwoordingsplicht niet alleen beperkt tot deze beginselen, maar geldt zij voor de naleving van de hele AVG.
Concreet houdt dit in dat uw organisatie het een en ander moet documenteren. Wat zijn uw verplichtingen op grond van de wet en hoe geeft u daar invulling aan binnen uw organisatie? Leg dit vast in een document/protocol. Daarnaast bent u op grond van de AVG verplicht een verwerkingsregister bij te houden.
Register van verwerkingsactiviteiten ("verwerkingsregister")
Op grond van de huidige Wbp zijn organisaties verplicht een melding te maken van gegevensverwerkingen bij de Autoriteit Persoonsgegevens (AP), tenzij zij onder een vrijstelling vallen. Deze meldplicht komt vanaf 25 mei 2018 te vervallen. Daarvoor in de plaats komt een verwerkingsregister. U hoeft niet langer te melden, maar u moet het een en ander intern documenteren en aan de AP kunnen laten zien. Organisaties moeten verplicht een (schriftelijk of elektronisch) register bijhouden waarin alle activiteiten worden omschreven waarbij persoonsgegevens worden verwerkt. Deze verplichting geldt voor:
- Ondernemingen of organisaties met meer dan 250 werknemers;
- Organisaties wiens verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkene;
- Organisaties wiens verwerking niet incidenteel is;
- Organisaties die bijzondere categorieën van gegevens of strafrechtelijke gegevens verwerken.
Gelet op het feit dat de meeste organisaties persoonsgegevens op structurele basis verwerken, geldt dat bijna alle organisaties aan deze verplichting zullen moeten voldoen.
In het register moet onder andere het volgende worden opgenomen (artikel 30 AVG):
- De contactgegevens van de verantwoordelijke/vertegenwoordiger en evt. ook de functionaris voor de gegevensbescherming (en anders motivatie waarom geen FG nodig is);
- De verwerkingsdoeleinden;
- Categorieën van betrokkenen en persoonsgegevens;
- Categorieën van partijen aan wie de gegevens zullen worden verstrekt;
- Indien gegevens aan derde landen worden verstrekt: vermelding van het derde land en waar nodig documentatie omtrent de genomen passende waarborgen voor de bescherming van persoonsgegevens in dit derde land;
- De beoogde bewaartermijnen;
- Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.
Indien uw verwerkingsgrondslag gebaseerd is op een gerechtvaardigd belang (zie blog #1), dan moet u de belangenafweging ook documenteren in dit register.
Niet alleen de verwerkingsverantwoordelijke moet dit register bijhouden, maar ook de verwerker. De verwerker hoeft iets minder te registeren. De doeleinden, categorieën van ontvangers en de beoogde bewaartermijnen van de verwerking hoeft de verwerker niet te registeren.
Tot slot
U kunt zich voorstellen dat de implementatie van de wetgeving een enorme - tevens administratieve - klus is. U moet voldoen aan de wetgeving, u moet aantonen dat u voldoet aan de wetgeving, u moet alles documenteren, en zelfs wanneer u van mening bent dat een bepaling niet op u van toepassing is, moet u documenteren waarom u dat vindt. Alle verantwoordelijkheid ligt bij u en de Autoriteit Persoonsgegevens wordt geholpen in de toezichthoudende taak. Op verzoek van de AP moet u het een en ander namelijk binnen één à twee werkdagen kunnen tonen. Kunt u dat niet, dan riskeert u een boete.
De advocaten van ons privacyteam helpen u graag bij het opstellen van een verwerkingsregister en interne (en externe) protocollen. Ook voor advies en/of vragen kunt u uiteraard bij ons terecht.