Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Als verwerkingsverantwoordelijke heb je de wettelijke plicht om persoonsgegevens te beveiligen. Nadat je de verwerkingen in kaart hebt gebracht (zie 2e sheet op deze pagina)  is de volgende stap om vast te stellen aan welke eventuele risico’s de gegevens worden blootgesteld (of zouden kunnen worden blootgesteld) en welke beveiligingsmaatregelen genomen moeten worden om ze tegen die risico’s te beschermen. Een PIA (Privacy Impact Assessment) of ook wel Data Protection Impact Assessment genoemd brengt die risico’s op een gestructureerde wijze in kaart. De norm voor informatiebeveiliging NEN7510 (die sinds juni 2009 verplicht is) helpt je daarbij.  Aanvullende informatie tref je op de site van de Autoriteit Persoonsgegevens

Verwijzend naar deze sheets gaat het bij “categorieën van betrokkenen”  bijvoorbeeld over “(personeels)leden” of “patiënten”. Bij “categorieën van gegevens” over bijvoorbeeld: “naw gegevens (naam, adres, woonplaats)”, “gegevens over de gezondheid”, “gegevens benodigd voor personeelsadministratie” etc. Resultaat van de gegevens inventarisatie kan worden gebruikt voor het privacy/informatiebeveiligingsbeleid.

In artikel 30 van de AVG staat wat er in het “Register van de verwerkingsactiviteiten” moet staan. Als de toezichthouder (Autoriteit Persoonsgegevens) daarom verzoekt dient die te worden overlegd. Veel van de inhoud kun je overigens gebruiken voor de privacyverklaring.

 

In Artikel 13 van de AVG wordt aangegeven wat in een privacyverklaring dient te zijn opgenomen.  Zie het overzicht op deze pagina. Die verklaring bevat veel elementen uit het verwerkingsregister (Artikel 30). Er is een gratis tool beschikbaar om deze samen te stellen.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport