PrivacyTeam033 200 30 83
Inloggen

Voldoet uw organisatie aantoonbaar aan de AVG?

Voldoet uw organisatie aantoonbaar aan de AVG?

AG Connect publiceerde eind vorig jaar een nieuwsbericht dat een gemeente te weinig aan privacy en gegevensbescherming heeft gewerkt. Een aantal tekortkomingen wordt genoemd:

  • De begroting en risico-inschatting schieten tekort
  • Onvoldoende sturing vanuit de tweede lijn (privacy en informatiebeveiliging)
  • Geen adequate auditsystematiek
  • Het ontbreekt aan kennis
  • DPIA’s (‘verplichte risicoanalyses’) zijn onvoldoende geïmplementeerd in de bedrijfsvoering
  • Het register van verwerkingsactiviteiten is onvolledig, niet actueel en niet conform de AVG

Zo maar wat tekortkomingen in de bedrijfsvoering van een gemeente.

Waarschijnlijk is deze gemeente niet de enige verwerkingsverantwoordelijke die dit (nog) niet op orde heeft.

In het kader van de aantoonbare naleving van de verplichtingen van de AVG is er voor veel organisaties nog veel werk te doen.

De AVG verplichtingen schrijven voor dat een verwerkingsverantwoordelijke verantwoordelijk is voor de naleving van alle beginselen van de AVG, en kan dit aantonen. Dit wordt de ‘verantwoordingsplicht’ genoemd.

Veel bedrijven en instellingen worstelen bijvoorbeeld nog met het (tijdig) uitvoeren van Data Protection Impact Assessments (DPIA’s). Dit zijn verplicht uit te voeren risico assessments (‘gegevensbeschermingseffectbeoordelingen’) die voorafgaand aan een verwerkingsactiviteit moet worden uitgevoerd indien er sprake is van een ‘hoog risico’ verwerking.

Wanneer is er sprake van een hoog risico verwerking. Dat is bepaald in artikel 35 lid 3 van de AVG, in richtlijnen van de European Data Protection Board en de lijst van de Autoriteit Persoonsgegevens.

Ook wanneer een verwerking wordt gestart, waarbij er geen verplichte DPIA nodig is, moet een verwerkingsverantwoordelijke kunnen aantonen waarom. Hiervoor is het verstandig om in alle gevallen een Pre-DPIA uit te voeren. De Pre-DPIA betreft een systematische beschrijving van de voorgenomen gegevensverwerking en bepaalt aan de hand van een handig stappenschema of een volledige DPIA wel of niet verplicht is.

Als je meer wilt weten over de Pre-DPIA, schaf dan hier het Handboek DPIA’s aan. Met de aanschaf van dit boek beschik je tevens over handige en actuele modellen voor het uitvoeren van een Pre-DPIA en DPIA’s.

Maarn, 5 januari 2022
Sander van de Molen

Naar het overzicht