21 juni 2017

De Avg uitgelegd deel 5: accountability en de documentatieplicht

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), EUROPA, INTERNATIONALE DATASTROMEN, PRIVACY, VERTROUWEN
De Avg uitgelegd deel 5: accountability en de documentatieplicht

Dit is het vijfde artikel in de serie over de Algemene verordening gegevensbescherming (Avg). In deze serie besteden we aandacht aan een aantal grote veranderingen op privacy-gebied waarmee ICT-bedrijven geconfronteerd gaan worden. Reden van deze veranderingen zijn de nieuwe Europese privacyregels uit de GDPR (General Data Protection Regulation); de Avg. Bedrijven krijgen tot 25 mei 2018 de tijd om hun bedrijfsvoering op de Avg aan te passen. In dit vijfde deel aandacht voor het accountability-principe onder de Avg, met een focus op de documentatieplicht die hier onderdeel van is.

Wat houdt het accountability-principe in?

Het accountability-principe houdt in dat iedere organisatie die persoonsgegevens verwerkt, moet kunnen laten zien op welke manier hij persoonsgegevens verwerkt conform de Avg. Hiertoe zal iedere organisatie die persoonsgegevens verwerkt, passende en effectieve maatregelen moeten uitvoeren.

Het accountability-principe komt in de Avg tot uiting in verschillende verplichtingen die in bepaalde gevallen niet alleen voor de verwerkingsverantwoordelijke, maar ook voor de verwerker gelden. (Zie voor nadere uitleg over de begrippen ‘verantwoordelijke’ en ‘bewerker’ (onder de Avg: ‘verwerkingsverantwoordelijke’ en ‘verwerker’) de 10 vragen en antwoorden over de Avg.)

Wat is er verplicht vanwege het accountability-principe?

De volgende verplichtingen vloeien voort uit het accountability-principe:

  • Een documentatieplicht: het bijhouden van een register van alle verwerkingsactiviteiten.
  • Het beschermen van gegevens door ontwerp en door standaardinstellingen, oftewel privacy by design en privacy by default.
  • Het (in bepaalde situaties) uitvoeren van een gegevensbeschermingseffectbeoordeling, ook wel een Privacy Impact Analyse of Privacy Impact Assessment (PIA) genoemd.
  • Het treffen van passende technische en organisatorische beveiligingsmaatregelen. Hierbij kan worden gedacht aan de pseudonimisering en versleuteling van persoonsgegevens, het hanteren van een goed wachtwoordenbeleid en het inrichten van autorisaties, maar ook aan het inrichten van een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de getroffen beveiligingsmaatregelen. Zie hiervoor artikel 32 van de Avg. Meer informatie over de beveiliging van persoonsgegevens is ook te vinden in de Beleidsregels beveiliging persoonsgegevens van de Autoriteit Persoonsgegevens (AP).
  • Het melden van datalekken. Op basis van deze meldplicht zijn organisaties die persoonsgegevens verwerken verplicht ‘ernstige’ datalekken te melden aan de AP en in sommige gevallen aan de betrokkenen (de personen over wie de gelekte persoonsgegevens informatie bevatten). Lees ook de 10 vragen en antwoorden over de Avg.
  • Het (in bepaalde situaties) aanstellen van een Functionaris voor de Gegevensbescherming.
  • Het aansluiten bij gedragscodes of het verkrijgen van certificeringen.

Een aantal van de hierboven genoemde verplichtingen wordt besproken in deze serie over de Avg. In dit deel van de serie gaan we nader in op de documentatieplicht die voortvloeit uit het accountability-principe uit de Avg.

Wat houdt de documentatieplicht in?

Op basis van de in de Avg neergelegde documentatieplicht moeten zowel de verwerkingsverantwoordelijke als de verwerker een register bijhouden:

  • De verwerkingsverantwoordelijke moet een register bijhouden van de verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsvinden.
  • De verwerker moet een register bijhouden van de verwerkingsactiviteiten die de verwerker ten behoeve van een verwerkingsverantwoordelijke (de klant) verricht heeft.

Wat moet een verwerkingsverantwoordelijke documenteren?

Het register van de verwerkingsverantwoordelijke moet in ieder geval de volgende gegevens bevatten:

  • Naam en contactgegevens van de verwerkingsverantwoordelijke en/of van de gezamenlijke verwerkingsverantwoordelijken. Gezamenlijke verantwoordelijkheid voor gegevensverwerkingen komt bijvoorbeeld voor bij samenwerking tussen rechtspersonen binnen een concernverband.
  • Naam en contactgegevens van de vertegenwoordiger van de verwerkingsverantwoordelijke. Een verwerkingsverantwoordelijke moet in bepaalde gevallen een vertegenwoordiger aanwijzen, indien hij niet gevestigd is in de Europese Unie, maar wel persoonsgegevens verwerkt van personen die zich binnen de Europese Unie bevinden.
  • Naam en contactgegevens van de Functionaris voor de Gegevensbescherming (hierna: FG). De Europese privacy-toezichthouders hebben in een gezamenlijke opinie hieraan nog toegevoegd dat, in het geval geen FG genoemd is, hier uitgelegd moet worden waarom de organisatie van mening is dat er geen FG nodig is. Voor meer informatie over de FG, zie ons eerdere artikel hierover.
  • De verwerkingsdoeleinden. Voorbeelden van verwerkingsdoeleinden zijn het beantwoorden van vragen en klachten van klanten en uitbetaling van salaris.
  • Beschrijving van de categorieën van de betrokkenen. Bijvoorbeeld: werknemers, leden, klanten, uitzendkrachten of toeleveranciers.
  • Beschrijving van de categorieën van persoonsgegevens. Bijvoorbeeld: NAW-gegevens, IP-adressen, bankrekeningnummer, online bestelgeschiedenis of polisnummers.
  • Beschrijving van de (voorgenomen) categorieën van ontvangers van de persoonsgegevens (zoals de Belastingdienst of een reclamebureau) inclusief derde landen of internationale organisaties.
  • Vermelding van het derde land of de internationale organisatie waaraan de persoonsgegevens verstrekt (zullen) worden en waar nodig documentatie omtrent de genomen passende waarborgen voor de bescherming van persoonsgegevens in dit derde land.
  • De beoogde bewaartermijnen voor de verschillende categorieën van gegevens.
  • Algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Wat moet een verwerker documenteren?

Het register dat de verwerker moet bijhouden is minder omvangrijk. Het register van de verwerker moet in ieder geval de volgende gegevens bevatten:

  • Naam en contactgegevens van de verwerker(s) of verwerkingsverantwoordelijken voor rekening waarvan de verwerker (eventueel als sub-verwerker) handelt (meestal komt dit neer op de lijst met klanten van de verwerker).
  • Naam en contactgegevens van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker waarvoor de (sub-)verwerker handelt.
  • Naam en contactgegevens van de Functionaris voor de Gegevensbescherming of een motivatie waarom geen FG nodig is.
  • De categorieën van verwerkingen die voor rekening van verwerkingsverantwoordelijken uitgevoerd zijn. Bijvoorbeeld: personeelsadministratie of bezoekersregistratie.
  • Vermelding van doorgifte aan een derde land of internationale organisatie en vermelding van dit derde land of internationale organisatie en waar nodig documentatie omtrent de genomen passende waarborgen voor de bescherming van persoonsgegevens in dit derde land.
  • Een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Wat is het verschil met de Wet bescherming persoonsgegevens (wbp)?

Onder de huidige Wbp heeft de verwerkingsverantwoordelijke in beginsel de plicht om zijn gegevensverwerkingen te melden bij de AP. De AP houdt een openbaar register bij van deze meldingen. Deze plicht tot het melden van gegevensverwerkingen voor de verwerkingsverantwoordelijke komt met ingang van de Avg te vervallen en wordt vervangen door de documentatieplicht. Deze documentatieplicht zal echter niet alleen gaan gelden voor verwerkingsverantwoordelijken, maar ook voor verwerkers.

Hoe zet ik het register op?

1. Inventariseer welke persoonsgegevens je verwerkt binnen je organisatie
Om een register op te zetten, is het voor zowel een verwerkingsverantwoordelijke als een verwerker noodzakelijk alle gegevensverwerkingen binnen de organisatie in kaart te brengen. Indien je als verwerkingsverantwoordelijke momenteel al voldoet aan de op dit moment nog bestaande meldplicht voor gegevensverwerkingen, dan beschik je voor een groot gedeelte al over de informatie die in het register opgenomen moet worden. De in het register op te nemen gegevens zijn namelijk ‘grosso modo’ hetzelfde als de gegevens die op dit moment nog door de verwerkingsverantwoordelijke opgegeven moeten worden bij zijn melding van gegevensverwerking bij de AP.

Ten behoeve van het register zal onderzocht moeten worden welke persoonsgegevens door de organisatie verwerkt worden en welke persoonsgegevens er namens de organisatie door een verwerker verwerkt worden. De volgende vragen moeten daarvoor beantwoord kunnen worden: om welke persoonsgegevens gaat het? Wat is de aard van de persoonsgegevens? Op welke manier vindt de verwerking plaats? Maken we hierbij gebruik van externe partijen? Aan wie verstrekken we de persoonsgegevens? Er moet daarbij zoveel mogelijk informatie verzameld worden omtrent de gegevensverwerkingen.

2. Richt het register in
Het register mag in elektronische vorm opgesteld worden. Een manier om te voldoen aan de documentatieplicht uit de Avg is het opstellen en bijhouden van een register in een Excel-bestand. Om je op weg te helpen, heeft Nederland ICT een ‘Voorbeeldregister verwerkingen’ opgesteld voor zowel verwerkers als verwerkingsverantwoordelijken. Deze zijn te vinden in de ledenomgeving MijnNederlandICT. Niet-leden kunnen de voorbeeldregisters ook bestellen als onderdeel van de Avg Toolkit. Voldoen aan de documentatieplicht kan uiteraard ook in een andere vorm. Door de markt worden hiervoor inmiddels diverse tools aangeboden.

3. Beheer het register
Het register moet bijgehouden worden. Hiervoor zal je procedures moeten inrichten: wie is verantwoordelijk voor het bijhouden van het register? En op welke momenten zal het register bijgewerkt moeten worden? Het register zal bijvoorbeeld bijgewerkt moeten worden indien er sprake is van een nieuwe klant of een nieuwe hosting-provider. Het register zal ook bijgewerkt moeten worden indien jouw beveiligingsbeleid gewijzigd wordt.

Moet ik het register openbaar maken?

Nee, het register hoeft niet openbaar gemaakt te worden. Echter, indien de AP (of een autoriteit persoonsgegevens uit een andere lidstaat) hierom vraagt, zal je het register wel ter beschikking moeten stellen aan de AP om aan te kunnen tonen dat je in het kader van de documentatieplicht compliant bent aan de Avg. De verwachting is dat de AP steekproefsgewijs registers zal opvragen en dat je als organisatie dan binnen één of twee dagen je register moet kunnen overleggen.

Moet iedereen een register bijhouden?

Ja. Er is weliswaar een uitzondering voor bedrijven die minder dan 250 personen in dienst hebben, maar door de uitleg van deze bepaling is de betekenis hiervan vrijwel nihil. Iedereen met een HR- of CRM-administratie zal al een register als verantwoordelijke moeten bijhouden. Als verwerker verwerk je doorgaans ook vaker dan incidenteel en zal je dus ook in die hoedanigheid een register moeten bijhouden.
Wél geldt er nog een uitzondering voor bepaalde verwerkingen. Je hoeft geen verwerkingen in je register op te nemen die:

  • Incidenteel voorkomen; EN
  • Geen gegevens betreffen over gezondheid, vakbondslidmaatschap, ras/etnische afkomst, religie, politieke voorkeuren, seksuele geaardheid, biometrische (met oog op identificeren) of genetische gegevens of strafrechtelijke gegevens; EN
  • Ook verder geen risico inhouden voor de privacy (dus geen hele grote hoeveelheden persoonsgegeven of bijvoorbeeld veel gegevens over één persoon of gegevens die als gevoelig worden gezien – zoals in Nederland financiële gegevens).

Wat als ik nog vragen heb?

Via de Helpdesk Avg geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. Nederland ICT organiseert ook verschillende workshops en bijeenkomsten. Leden van Nederland ICT kunnen kosteloos deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen!

Wil je regelmatig een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze Avg nieuwsbrief.

Artikel laatst bijgewerkt in mei 2018 (tekst onder ‘Moet iedereen een register bijhouden?’).