AP start onderzoek naleving privacyregels bij organisaties

De Autoriteit Persoonsgegevens (AP) is ‘on te move’!

In juni 2018 verscheen een persbericht van de AP dat er ruim 400 overheidsorganisaties gecontroleerd zijn of zij een Functionaris voor de Gegevensbescherming (FG) hebben aangemeld. Hieruit bleek dat 4{c256f39b0ea843a8f6645ac42a62841a34e260333357c9fa39e1f18d7e45bf26} nog geen Functionaris Gegevensbescherming heeft aangemeld. Deze organisaties zijn aangeschreven door de AP en hebben te horen gekregen dat zij voor medio juni moeten laten weten wie hun Functionaris Gegevensbescherming is.

Verkennend onderzoek door AP

Nu een maand later kondigt de AP opnieuw aan een ‘verkennend’ onderzoek te starten naar de naleving van de privacyregels. Dit keer in private sectoren. De AP voert momenteel een steekproef uit onder 30 grote organisaties in 10 private sectoren. Bouw, handel, horeca, financiële en zakelijke dienstverlening en de zorg zijn een aantal sectoren die hieronder vallen. Het onderzoek moet uitwijzen in hoeverre grote organisaties voldoen aan de privacyregels.

Register van verwerkingsactiviteiten

De AP onderzoekt of deze bedrijven een register van verwerkingsactiviteiten bijhouden. Hierbij wordt gekeken naar de opzet van een register en of deze de juiste informatie over de verwerkingen bevat. De AP geeft aan dit als een belangrijke stap te zien waarmee organisaties kunnen aantonen de privacyregels serieus te nemen.

Het ‘register van verwerkingsactiviteiten’ is verplicht voor alle organisaties met meer dan 250 medewerkers. Voor kleinere organisaties geldt dat zij een register moeten hebben wanneer zij:

  • structureel persoonsgegevens verwerken, bijvoorbeeld over medewerkers,
  • persoonsgegevens verwerken met een hoog risico voor de rechten en vrijheden van betrokkenen,
  • bijzondere persoonsgegevens verwerken, zoals gezondheidsgegevens.

Het register van verwerkingen vormt een belangrijke basis voor implementatie van de AVG. In het register zijn namelijk de persoonsgegevensverwerkingen van de verantwoordelijke organisatie toegelicht. Hierdoor wordt – zowel voor betrokkenen (van wie de persoonsgegevens worden verwerkt), als de organisatie zelf – duidelijk en transparant op welke wijze de persoonsgegevens worden verwerkt. Zo geeft het register onder meer inzicht in het doel van de verwerking, categorie van gegevens, beveiligingsmaatregelen en de bewaartermijn van de informatie.

Het inrichten van een register is slechts één van de maatregelen waarmee u als verwerkingsverantwoordelijke laat zien te voldoen aan de Algemene Verordening van Gegevensbescherming (AVG).

Wat is er nodig om mijn bedrijf aan de AVG te laten voldoen?

De consultants van Sincerus kunnen met behulp van een AVG-scan inzichtelijk maken welke beheersmaatregelen (quick-win’s) er specifiek voor uw organisatie nodig zijn om minimaal te voldoen aan de AVG. Een uitgewerkt implementatieplan AVG (GAP analyse waarmee u inzichtelijk krijgt wat er nog moet gebeuren om aan de AVG te voldoen) geeft u dit inzicht. Vervolgens kunnen onze consultants u ondersteunen bij het implementeren van betreffende beheersmaatregelen.

Wanneer er een Functionaris Gegevensbescherming aangesteld moet worden is te lezen in onze eerdere blog “Onafhankelijk Toezicht Waarborgen“. Sincerus ondersteunt u bij het beantwoorden van deze vraag en verleent de dienst ‘FG as a service’, voor bedrijven die verplicht zijn om een Functionaris Gegevensbescherming aan te stellen. Met deze service is tevens de onafhankelijkheid van de Functionaris Gegevensbescherming ten opzichte van uw organisatie gewaarborgd. Wij helpen u graag!

Menu