U bent hier

Onderneming & Fiscus
Privacy en AVG29. Toezichthouders12.1 Taken

12.1 Taken

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

boetes

De voorzitter van de AP gaf in een krantenartikel aan, dat er mogelijk torenhoge boetes worden uitgedeeld aan organisaties, die slordig omgaan met persoonsgegevens, ook indien er geen sprake is van grove schuld. Dat is een behoorlijk schrikbeeld, maar wordt de soep zo heet gegeten als die wordt opgediend?

AP in de AVG

EU-lidstaten

In de AVG zijn de taken en bevoegdheden van de toezichthoudende autoriteit vastgelegd. De AP moet er bijvoorbeeld aan bijdragen dat de AVG consequent wordt toegepast in de EU. Er zijn overigens ook EU-lidstaten, die meerdere toezichthoudende autoriteiten hebben, Nederland heeft er maar één, en dat is de AP.

handhaven

regelgeving

ontwikkelingen

gedragscodes

toetsing

accrediatie

In de AVG is haarfijn uitgelegd wat de taken van de AP zijn. Op basis daarvan staat de AP het volgende te doen:

  • zij monitort en handhaaft de toepassing van de AVG;
  • zij werkt aan bekendheid met de AVG bij het brede publiek. Het gaat er dan om dat het publiek inzicht krijgt in privacyrisico’s, -regels, -waarborgen en -rechten rond de verwerking van persoonsgegevens. Hierbij heeft de AP extra aandacht voor activiteiten gericht op kinderen;
  • zij adviseert de overheid op het gebied van privacywet- en regelgeving. Hierbij ligt de nadruk op de bescherming van de rechten en vrijheden van personen bij de verwerking van persoonsgegevens;
  • zij maakt verantwoordelijken en verwerkers beter bekend met hun verplichtingen op basis van de AVG;
  • zij verstrekt, indien gewenst, informatie aan betrokkenen over de uitoefening van hun rechten (bijvoorbeeld het recht op inzage of wijziging);
  • zij behandelt klachten van betrokkenen en faciliteert de klachtindiening. Voor betrokkenen en FG’s verricht de AP haar taken kosteloos, tenzij de verzoeken ongegrond of buitensporig zijn;
  • zij werkt samen met andere toezichthoudende autoriteiten;
  • zij verricht onderzoek naar de toepassing van de AVG;
  • zij volgt de relevante ontwikkelingen voor zover deze impact hebben op de bescherming van persoonsgegevens;
  • zij stelt zogeheten standaardcontractbepalingen (standard contractual clauses) vast;
  • zij stelt een lijst op met eisen voor een gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment of DPIA);
  • zij geeft advies wanneer uit een DPIA blijkt dat er sprake is van een hoog risico bij een verwerking;
  • zij bevordert de opstelling van gedragscodes en de invoering van certificeringen (bijvoorbeeld ISO 27001). Ook kan zij criteria voor certificering goedkeuren;
  • zij kan een periodieke toetsing doen om te controleren of afgegeven certificeringen terecht zijn;
  • zij zorgt voor de criteria voor de accreditatie van certificeringsorganen. Dit in het kader van toezicht op gedragscodes en certificeringsorganen;
  • zij geeft toestemming voor bepaalde contractuele bepalingen;
  • zij keurt zogeheten bindende bedrijfsvoorschriften (binding corporate rules) goed;
  • zij levert een bijdrage aan de activiteit van het Europees Comité voor Gegevensbescherming;
  • zij houdt interne registers bij van inbreuken op de AVG en getroffen maatregelen;
  • zij verricht alle andere taken, die verband houden met de bescherming van persoonsgegevens.

Grensoverschrijdend toezien

Als een verwerking van persoonsgegevens de grenzen over gaat, kan een organisatie met meerdere toezichthouders te maken krijgen. De leidende toezichthouder is dan de instantie die in de eerste plaats verantwoordelijk is voor de gegevensverwerking. Een organisatie krijgt met meerdere toezichthouders te maken als de verwerking in meerdere landen plaatsvindt of impact heeft op verschillende landen. Denk daarbij aan een webwinkel die ook Belgische klanten verwelkomt.