Privacy Platform

Het Privacy Platform is een netwerk van Nederlandse brancheverenigingen waarvan hun leden persoonsgegevens verwerken of verzamelen.

Contactpersoon

Esther Mieremet

Aantoonbaar compliant

De AVG eist van organisaties dat ze aan kunnen tonen dat ze de juiste maatregelen hebben getroffen. Als er dan een probleem is (een datalek, bijvoorbeeld) kunnen ze laten zien dat ze de nodige maatregelen hebben getroffen om de risico’s voor betrokkenen te verkleinen.

Bedrijven moeten de volgende onderwerpen op orde hebben:

  • het bijhouden van een register van gegevensverwerkingen
  • het inzichtelijk hebben van de genomen veiligheidsmaatregelen
  • het beschikbaar hebben van de uitgevoerde data protection impact assessments
  • aan kunnen tonen hoe de rechten van betrokken worden gewaarborgd
  • dat duidelijk is dat het personeel weet wat te doen en hoe te handelen.

Omdat organisaties soms te klein zijn om het allemaal zelf te doen is het toegestaan om gebruik te maken van een externe partij (data protection officer) die ook voor andere organisaties werkt. Dat scheelt in de kosten en het maakt het mogelijk om een hoger niveau van expertise in te schakelen.

Voorbeelden

add remove Register van verwerkingsactiviteiten

De AVG wil dat je een overzicht hebt van de verwerking van persoonsgegevens binnen je organisatie. Er zijn verschillende pakketten beschikbaar om je daarin te ondersteunen. Het verkrijgen van een overzicht is aanvankelijk een intensief karwei. Heb je het overzicht eenmaal dan leert de praktijk dat dit je ook voordelen biedt. Het voorkomt dat je gegevens dubbel opslaat, fouten kunnen makkelijker opgespoord worden en het is binnen de organisatie veel duidelijker welke gegevens en gegevensstromen er zijn. Daarnaast kun je het register gebruiken om tegemoet te komen aan de rechten van betrokkenen, zoals het inzagerecht en het correctierecht.   

add remove Een Data Protection Officer?

Niet alle organisaties zijn verplicht om een Data Protection Officer (DPO) aan te stellen. Maar ook kleine organisaties kunnen grote hoeveelheden persoonsgegevens verwerken. Een makelaar in persoonsgegevens, bijvoorbeeld, hoeft niet erg groot te zijn om toch de gegevens van vele honderdduizenden of miljoenen personen te verwerken. Kleine organisaties kunnen ook gebruik maken van een gezamenlijke DPO. Die DPO beoordeelt of de organisatie goed omgaat met de risico’s van de verwerking en of de juiste maatregelen zijn getroffen. Hoe heeft u dit georganiseerd?