Avg uitgelegd: accountability en de documentatieplicht

In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: wil je de basis van de Avg nog eens doornemen? Begin dan bij 10 vragen en antwoorden over de Avg. In dit artikel aandacht voor het accountability-principe onder de Avg, met een focus op de documentatieplicht die hier onderdeel van is.

Wat houdt het accountability-principe in?

Het accountability-principe houdt in dat iedere organisatie die persoonsgegevens verwerkt, moet kunnen laten zien op welke manier hij persoonsgegevens verwerkt conform de Avg. Hiertoe zal iedere organisatie die persoonsgegevens verwerkt, passende en effectieve maatregelen moeten uitvoeren.

Het accountability-principe komt in de Avg tot uiting in verschillende verplichtingen die in bepaalde gevallen niet alleen voor de verwerkingsverantwoordelijke, maar ook voor de verwerker gelden. (Zie voor nadere uitleg over de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’ de 10 vragen en antwoorden over de Avg.)

Wat is er verplicht vanwege het accountability-principe?

De volgende verplichtingen vloeien voort uit het accountability-principe:

Een aantal van de hierboven genoemde verplichtingen bespreken we meer uitgebreid in onze serie over de Avg. In dit deel van de serie gaan we nader in op de documentatieplicht die voortvloeit uit het accountability-principe uit de Avg.

Wat houdt de documentatieplicht in?

Op basis van de in de Avg neergelegde documentatieplicht moeten zowel de verwerkingsverantwoordelijke als de verwerker een register bijhouden:

Wat moet een verwerkingsverantwoordelijke documenteren?

Het register van de verwerkingsverantwoordelijke moet in ieder geval de volgende gegevens bevatten:

Wat moet een verwerker documenteren?

Het register dat de verwerker moet bijhouden is minder omvangrijk. Het register van de verwerker moet in ieder geval de volgende gegevens bevatten:

Wat is het verschil met de Wet bescherming persoonsgegevens (wbp)?

Onder de huidige Wbp heeft de verwerkingsverantwoordelijke in beginsel de plicht om zijn gegevensverwerkingen te melden bij de AP. De AP houdt een openbaar register bij van deze meldingen. Deze plicht tot het melden van gegevensverwerkingen voor de verwerkingsverantwoordelijke komt met ingang van de Avg te vervallen en wordt vervangen door de documentatieplicht. Deze documentatieplicht zal echter niet alleen gaan gelden voor verwerkingsverantwoordelijken, maar ook voor verwerkers.

Hoe zet ik het register op?

  1. Inventariseer welke persoonsgegevens je verwerkt binnen je organisatie
    Om een register op te zetten, is het voor zowel een verwerkingsverantwoordelijke als een verwerker noodzakelijk alle gegevensverwerkingen binnen de organisatie in kaart te brengen. Indien je als verwerkingsverantwoordelijke momenteel al voldoet aan de op dit moment nog bestaande meldplicht voor gegevensverwerkingen, dan beschik je voor een groot gedeelte al over de informatie die in het register opgenomen moet worden. De in het register op te nemen gegevens zijn namelijk ‘grosso modo’ hetzelfde als de gegevens die op dit moment nog door de verwerkingsverantwoordelijke opgegeven moeten worden bij zijn melding van gegevensverwerking bij de AP. Ten behoeve van het register zal onderzocht moeten worden welke persoonsgegevens door de organisatie verwerkt worden en welke persoonsgegevens er namens de organisatie door een verwerker verwerkt worden. De volgende vragen moeten daarvoor beantwoord kunnen worden: om welke persoonsgegevens gaat het? Wat is de aard van de persoonsgegevens? Op welke manier vindt de verwerking plaats? Maken we hierbij gebruik van externe partijen? Aan wie verstrekken we de persoonsgegevens? Er moet daarbij zoveel mogelijk informatie verzameld worden omtrent de gegevensverwerkingen.
  2. Richt het register in
    Het register mag in elektronische vorm opgesteld worden. Een manier om te voldoen aan de documentatieplicht uit de Avg is het opstellen en bijhouden van een register in een Excel-bestand. Om je op weg te helpen, heeft NLdigital een ‘Voorbeeldregister verwerkingen’ opgesteld voor zowel verwerkers als verwerkingsverantwoordelijken. Voldoen aan de documentatieplicht kan uiteraard ook in een andere vorm. Door de markt worden hiervoor inmiddels diverse tools aangeboden.
  3. Beheer het register
    Het register moet bijgehouden worden. Hiervoor zal je procedures moeten inrichten: wie is verantwoordelijk voor het bijhouden van het register? En op welke momenten zal het register bijgewerkt moeten worden? Het register zal bijvoorbeeld bijgewerkt moeten worden indien er sprake is van een nieuwe klant of een nieuwe hosting-provider. Het register zal ook bijgewerkt moeten worden indien jouw beveiligingsbeleid gewijzigd wordt.

Moet ik het register openbaar maken?

Nee, het register hoeft niet openbaar gemaakt te worden. Echter, indien de AP (of een toezichthouder uit een andere lidstaat) hierom vraagt, zal je het register wel ter beschikking moeten stellen aan de AP om aan te kunnen tonen dat je in het kader van de documentatieplicht compliant bent aan de Avg. De verwachting is dat de AP steekproefsgewijs registers zal opvragen en dat je als organisatie dan binnen één of twee dagen je register moet kunnen overleggen.

Moet iedereen een register bijhouden?

Ja. Er is weliswaar een uitzondering voor bedrijven die minder dan 250 personen in dienst hebben, maar door de uitleg van deze bepaling is de betekenis hiervan vrijwel nihil. Iedereen met een HR- of CRM-administratie zal al een register als verantwoordelijke moeten bijhouden. Als verwerker verwerk je doorgaans ook vaker dan incidenteel en zal je dus ook in die hoedanigheid een register moeten bijhouden.
Wél geldt er nog een uitzondering voor bepaalde verwerkingen. Je hoeft geen verwerkingen in je register op te nemen die:

Meer informatie en vragen

Onze juristen geven advies en ondersteuning bij vraagstukken op het gebied van privacy. Heb je vragen of wil je meer informatie? Kijk dan in onze kennisbank of neem contact op met onze juristen.


Deel via:

Gerelateerde artikelen

3 gevaarlijke mythes over privacy en hoe je ze effectief ontkracht

Rondom privacy bestaat veel onbegrip in de samenleving. In deze blog delen we drie hardnekkige mythes over privacy om jou…
Avg & privacy

Een datalekkenprotocol: waarom is dat belangrijk?

Met een datalekkenprotocol is duidelijk wat je moet doen in het geval dat er zich een incident voordoet, weet je…
Avg & privacy

Voorbeeld datalekkenprotocol

Voor datalekken geldt uiteraard: voorkomen is beter dan genezen. Maar in het geval dat het toch misgaat, is het goed…
Avg & privacy