Avg uitgelegd: accountability en de documentatieplicht

In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: wil je de basis van de Avg nog eens doornemen? Begin dan bij 10 vragen en antwoorden over de Avg. In dit artikel aandacht voor het accountability-principe onder de Avg, met een focus op de documentatieplicht die hier onderdeel van is.

Wat houdt het accountability-principe in?

Het accountability-principe houdt in dat iedere organisatie die persoonsgegevens verwerkt, moet kunnen laten zien op welke manier hij persoonsgegevens verwerkt conform de Avg. Hiertoe zal iedere organisatie die persoonsgegevens verwerkt, passende en effectieve maatregelen moeten uitvoeren.

Het accountability-principe komt in de Avg tot uiting in verschillende verplichtingen die in bepaalde gevallen niet alleen voor de verwerkingsverantwoordelijke, maar ook voor de verwerker gelden. (Zie voor nadere uitleg over de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’ de 10 vragen en antwoorden over de Avg.)

Wat is er verplicht vanwege het accountability-principe?

De volgende verplichtingen vloeien voort uit het accountability-principe:

• Een documentatieplicht: het bijhouden van een register van alle verwerkingsactiviteiten.
• Het beschermen van gegevens door ontwerp en door standaardinstellingen, oftewel privacy by design en privacy by default.
• Het (in bepaalde situaties) uitvoeren van een gegevensbeschermingseffectbeoordeling, ook wel een Data Protection Impact Assessment (DPIA) genoemd.
• Het (in bepaalde situaties) uitvoeren van een Data Transfer Impact Assessment (DTIA) wanneer je gegevens buiten de EU/EER verwerkt.
• Het treffen van passende technische en organisatorische beveiligingsmaatregelen. Hierbij kun je denken aan de pseudonimisering en versleuteling van persoonsgegevens, het hanteren van een goed wachtwoordenbeleid en het inrichten van autorisaties, maar ook aan het inrichten van een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de getroffen beveiligingsmaatregelen. Zie hiervoor artikel 32 van de Avg. Meer informatie over de beveiliging van persoonsgegevens is ook te vinden in de Beleidsregels beveiliging persoonsgegevens van de Autoriteit Persoonsgegevens (AP).
• Het melden van datalekken. Op basis van deze meldplicht zijn organisaties die persoonsgegevens verwerken verplicht ‘ernstige’ datalekken te melden aan de AP en in sommige gevallen aan de betrokkenen (de personen over wie de gelekte persoonsgegevens informatie bevatten). Lees ook de 10 vragen en antwoorden over de Avg.
• Het (in bepaalde situaties) aanstellen van een Functionaris voor de Gegevensbescherming.
• Het aansluiten bij gedragscodes of het verkrijgen van certificeringen.

Een aantal van de hierboven genoemde verplichtingen bespreken we meer uitgebreid in onze serie over de Avg. In dit deel van de serie gaan we nader in op de documentatieplicht die voortvloeit uit het accountability-principe uit de Avg.

Wat houdt de documentatieplicht in?

Op basis van de in de Avg neergelegde documentatieplicht moeten zowel de verwerkingsverantwoordelijke als de verwerker een register bijhouden:

• De verwerkingsverantwoordelijke moet een register bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden.
• De verwerker moet een register bijhouden van de verwerkingsactiviteiten die de verwerker ten behoeve van een verwerkingsverantwoordelijke (de klant) verricht heeft.

Wat moet een verwerkingsverantwoordelijke documenteren?

Het register van de verwerkingsverantwoordelijke moet in ieder geval de volgende gegevens bevatten:

• Naam en contactgegevens van de verwerkingsverantwoordelijke en/of van de gezamenlijke verwerkingsverantwoordelijken. Gezamenlijke verantwoordelijkheid voor gegevensverwerkingen komt bijvoorbeeld voor bij samenwerking tussen rechtspersonen binnen een concernverband.
• Naam en contactgegevens van de vertegenwoordiger van de verwerkingsverantwoordelijke. Een verwerkingsverantwoordelijke moet in bepaalde gevallen een vertegenwoordiger aanwijzen, indien hij niet gevestigd is in de Europese Unie, maar wel persoonsgegevens verwerkt van personen die zich binnen de Europese Unie bevinden.
• Naam en contactgegevens van de Functionaris voor de Gegevensbescherming (hierna: FG). De Europese privacy-toezichthouders hebben in een gezamenlijke opinie hieraan nog toegevoegd dat, in het geval geen FG genoemd is, hier uitgelegd moet worden waarom de organisatie van mening is dat er geen FG nodig is. Voor meer informatie over de FG, zie ons eerdere artikel hierover.
• De verwerkingsdoeleinden. Voorbeelden van verwerkingsdoeleinden zijn het beantwoorden van vragen en klachten van klanten en uitbetaling van salaris.
• Beschrijving van de categorieën van de betrokkenen. Bijvoorbeeld: werknemers, leden, klanten, uitzendkrachten of toeleveranciers.
• Beschrijving van de categorieën van persoonsgegevens. Bijvoorbeeld: NAW-gegevens, IP-adressen, bankrekeningnummer, online bestelgeschiedenis of polisnummers.
• Beschrijving van de (voorgenomen) categorieën van ontvangers van de persoonsgegevens (zoals de Belastingdienst of een reclamebureau) inclusief derde landen of internationale organisaties.
• Vermelding van het derde land of de internationale organisatie waaraan de persoonsgegevens verstrekt (zullen) worden en waar nodig documentatie omtrent de genomen passende waarborgen voor de bescherming van persoonsgegevens in dit derde land.
• De beoogde bewaartermijnen voor de verschillende categorieën van gegevens.
• Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Wat moet een verwerker documenteren?

Het register dat de verwerker moet bijhouden is minder omvangrijk. Het register van de verwerker moet in ieder geval de volgende gegevens bevatten:

• Naam en contactgegevens van de verwerker(s) of verwerkingsverantwoordelijken voor rekening waarvan de verwerker (eventueel als sub-verwerker) handelt (meestal komt dit neer op de lijst met klanten van de verwerker).
• Naam en contactgegevens van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker waarvoor de (sub-)verwerker handelt.
• Naam en contactgegevens van de Functionaris voor de Gegevensbescherming of een motivatie waarom geen FG nodig is.
• De categorieën van verwerkingen die voor rekening van verwerkingsverantwoordelijken uitgevoerd zijn. Bijvoorbeeld: personeelsadministratie of bezoekersregistratie.
• Vermelding van doorgifte aan een derde land of internationale organisatie en vermelding van dit derde land of internationale organisatie en waar nodig documentatie omtrent de genomen passende waarborgen voor de bescherming van persoonsgegevens in dit derde land.
• Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Wat is het verschil met de Wet bescherming persoonsgegevens (wbp)?

Onder de huidige Wbp heeft de verwerkingsverantwoordelijke in beginsel de plicht om zijn gegevensverwerkingen te melden bij de AP. De AP houdt een openbaar register bij van deze meldingen. Deze plicht tot het melden van gegevensverwerkingen voor de verwerkingsverantwoordelijke komt met ingang van de Avg te vervallen en wordt vervangen door de documentatieplicht. Deze documentatieplicht zal echter niet alleen gaan gelden voor verwerkingsverantwoordelijken, maar ook voor verwerkers.

Hoe zet ik het register op?

1. Inventariseer welke persoonsgegevens je verwerkt binnen je organisatie
   Om een register op te zetten, is het voor zowel een verwerkingsverantwoordelijke als een verwerker noodzakelijk alle gegevensverwerkingen binnen de organisatie in kaart te brengen. Indien je als verwerkingsverantwoordelijke momenteel al voldoet aan de op dit moment nog bestaande meldplicht voor gegevensverwerkingen, dan beschik je voor een groot gedeelte al over de informatie die in het register opgenomen moet worden. De in het register op te nemen gegevens zijn namelijk ‘grosso modo’ hetzelfde als de gegevens die op dit moment nog door de verwerkingsverantwoordelijke opgegeven moeten worden bij zijn melding van gegevensverwerking bij de AP. Ten behoeve van het register zal onderzocht moeten worden welke persoonsgegevens door de organisatie verwerkt worden en welke persoonsgegevens er namens de organisatie door een verwerker verwerkt worden. De volgende vragen moeten daarvoor beantwoord kunnen worden: om welke persoonsgegevens gaat het? Wat is de aard van de persoonsgegevens? Op welke manier vindt de verwerking plaats? Maken we hierbij gebruik van externe partijen? Aan wie verstrekken we de persoonsgegevens? Er moet daarbij zoveel mogelijk informatie verzameld worden omtrent de gegevensverwerkingen.
2. Richt het register in
   Het register mag in elektronische vorm opgesteld worden. Een manier om te voldoen aan de documentatieplicht uit de Avg is het opstellen en bijhouden van een register in een Excel-bestand. Om je op weg te helpen, heeft NLdigital een ‘Voorbeeldregister verwerkingen’ opgesteld voor zowel verwerkers als verwerkingsverantwoordelijken. Voldoen aan de documentatieplicht kan uiteraard ook in een andere vorm. Door de markt worden hiervoor inmiddels diverse tools aangeboden.
3. Beheer het register
   Het register moet bijgehouden worden. Hiervoor zal je procedures moeten inrichten: wie is verantwoordelijk voor het bijhouden van het register? En op welke momenten zal het register bijgewerkt moeten worden? Het register zal bijvoorbeeld bijgewerkt moeten worden indien er sprake is van een nieuwe klant of een nieuwe hosting-provider. Het register zal ook bijgewerkt moeten worden indien jouw beveiligingsbeleid gewijzigd wordt.

Moet ik het register openbaar maken?

Nee, het register hoeft niet openbaar gemaakt te worden. Echter, indien de AP (of een toezichthouder uit een andere lidstaat) hierom vraagt, zal je het register wel ter beschikking moeten stellen aan de AP om aan te kunnen tonen dat je in het kader van de documentatieplicht compliant bent aan de Avg. De verwachting is dat de AP steekproefsgewijs registers zal opvragen en dat je als organisatie dan binnen één of twee dagen je register moet kunnen overleggen.

Moet iedereen een register bijhouden?

Ja. Er is weliswaar een uitzondering voor bedrijven die minder dan 250 personen in dienst hebben, maar door de uitleg van deze bepaling is de betekenis hiervan vrijwel nihil. Iedereen met een HR- of CRM-administratie zal al een register als verantwoordelijke moeten bijhouden. Als verwerker verwerk je doorgaans ook vaker dan incidenteel en zal je dus ook in die hoedanigheid een register moeten bijhouden.
Wél geldt er nog een uitzondering voor bepaalde verwerkingen. Je hoeft geen verwerkingen in je register op te nemen die:

• Incidenteel voorkomen; én
• Geen gegevens betreffen over gezondheid, vakbondslidmaatschap, ras/etnische afkomst, religie, politieke voorkeuren, seksuele geaardheid, biometrische (met oog op identificeren) of genetische gegevens of strafrechtelijke gegevens; én
• Ook verder geen risico inhouden voor de privacy (dus geen hele grote hoeveelheden persoonsgegeven of bijvoorbeeld veel gegevens over één persoon of gegevens die als gevoelig worden gezien – zoals in Nederland financiële gegevens).

Meer informatie en vragen

Onze juristen geven advies en ondersteuning bij vraagstukken op het gebied van privacy. Heb je vragen of wil je meer informatie? Kijk dan in onze kennisbank of neem contact op met onze juristen.

Paula Hooyman

Jurist

Neem contact op met
Paula Hooyman

Gerelateerde artikelen

3 gevaarlijke mythes over privacy en hoe je ze effectief ontkracht

Rondom privacy bestaat veel onbegrip in de samenleving. In deze blog delen we drie hardnekkige mythes over privacy om jou…

Avg & privacy

Een datalekkenprotocol: waarom is dat belangrijk?

Met een datalekkenprotocol is duidelijk wat je moet doen in het geval dat er zich een incident voordoet, weet je…

Avg & privacy

Voorbeeld datalekkenprotocol

Voor datalekken geldt uiteraard: voorkomen is beter dan genezen. Maar in het geval dat het toch misgaat, is het goed…

Avg & privacy