U bent hier

Onderneming & Salaris
Privacy en AVG27. Meldplicht datalekken10.3 Verantwoordelijkheid

10.3 Verantwoordelijkheid

Dit artikel is eerder verschenen als Themadossier HR Rendement
Publicatiedatum: april 2018

Zoals eerder genoemd heeft de verantwoordelijke organisatie de plicht om in bepaalde gevallen het datalek binnen 72 uur te melden aan de AP en in sommige gevallen aan de betrokken personen.

onredelijke vertraging

doelen en middelen

De verwerker is dan weer verplicht om datalekken zonder onredelijke vertraging te melden bij de verantwoordelijke organisatie. Om deze verplichtingen te verduidelijken, is het goed om nogmaals het verschil uit te leggen tussen de verantwoordelijke en de verwerker:

  • De verantwoordelijke is: de partij die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Als de doelen en de middelen voor deze verwerking in het Nederlandse of het EU-recht zijn vastgesteld, kan daaruit worden afgeleid wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.
  • De verwerker is: de partij die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Samen invulling geven aan de overeenkomst

Als uw organisatie een verwerker in de arm neemt, moet u samen afspraken maken over aansprakelijkheden en de invulling van de meldplicht datalekken. De afspraken worden doorgaans gemaakt in een verwerkersovereenkomst.

privacybeleid

De praktijk leert dat het niet verstandig is om zomaar akkoord te gaan met een standaard verwerkersovereenkomst, omdat die nog wel eens alleen uitgaat van het belang van de partij die het document opstelt. Voor beide partijen is het goed om heldere afspraken te maken, die in het verlengde liggen van het eigen privacybeleid.

Documentatieplicht

Zoals in hoofdstuk 4 al beschreven, brengt de AVG de documentatieplicht met zich mee. Deze houdt in dat organisaties met meer dan 250 personen een register van activiteiten rond persoonsgegevens moeten bijhouden.

Minder dan 250 werknemers

De documentatieplicht geldt ook voor organisaties met minder dan 250 werknemers, die persoonsgegevens verwerken:

  • waarbij het waarschijnlijk is dat de verwerking een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen;
  • waarbij de verwerking niet incidenteel is;
  • waarbij de verwerking bijzondere categorieën van gegevens betreft of persoonsgegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten.

voorwaarden

In de praktijk zal de documentatieplicht dus ook gelden voor het gros van de organisaties met minder dan 250 werknemers. In hoofdstuk 4 vindt u de precieze voorwaarden van dit register.