Het accountability principe onder de Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming (AVG) introduceert meer nadrukkelijk het accountability principe. Dit betekent dat van organisaties wordt vereist dat ze de juiste technische en organisatorische maatregelen nemen om te voldoen aan de principes en verplichtingen in de wet en dit kunnen aantonen. Twee van deze verplichtingen zijn de documentatieplicht en het uitvoeren van een Privacy Impact Assessment (PIA) (onder bepaalde voorwaarden).

De verplichting om de gegevensverwerkingen te melden bij de toezichthouder vervalt onder de AVG, maar in plaats daarvan is elke verantwoordelijke en bewerker straks verplicht om een register/documentatie bij te houden van alle verwerkingen die ze uitvoeren (documentatieplicht). Zij moeten de volgende informatie over de verwerkingen bijhouden:

  • De gegevens over de verantwoordelijke (indien aanwezig medeverantwoordelijke);
  • Het doel van de verwerking;
  • De categorieën van persoonsgegevens die worden verwerkt door de verantwoordelijke;
  • De bewaartermijnen van de persoonsgegevens;
  • De ontvangers van de persoonsgegevens;
  • Een algemene beschrijving van de genomen technische en organisatorische maatregelen.

Eén andere nieuwe verplichting onder de AVG is het uitvoeren van een PIA (ook wel gegevensbeschermingseffectbeoordeling genoemd) in bepaalde gevallen. Dit is in ieder geval verplicht wanneer er sprake is van:

  • Een systematische en uitvoerige evaluatie van persoonlijke aspecten, waaronder profiling;
  • Verwerking van bijzondere persoonsgegevens op grote schaal;
  • Op grote schaal en systematisch volgen van mensen in een publiek toegankelijk gebied (bijvoorbeeld cameratoezicht).

Indien wordt nagelaten een PIA uit te voeren, wordt een boete geriskeerd, die op kan lopen tot 820.000 euro.

Het uitvoeren van een PIA is ook verstandig wanneer nieuwe diensten of producten worden geïntroduceerd. Bij het doen van een PIA worden de privacyaspecten die aan een dergelijke dienst of product zijn verbonden onderzocht en krijgt u een inzicht in de privacy risico’s van een nieuwe dienst of een product.

Bent u al voorbereid op de Algemene Verordening Persoonsgegevens? Of wilt u meer informatie over het accountability principe onder de Algemene Verordening Gegevensbescherming? Of wilt u een PIA laten uitvoeren? Neem dan contact met ons op!