Begin al maar notities te maken! De verantwoordingsplicht (accountability) onder de GDPR

10 februari 2021 | dJ Talks

De Europese wetgever heeft in de GDPR een groot gewicht gegeven aan de zogenaamde “verantwoordingsplicht”. Dat betekent dat een onderneming niet alleen persoonsgegevens voldoende moet beschermen, het bedrijf moet bovendien ook formeel kunnen bewijzen dat het alle nodige stappen hiertoe heeft ondernomen.

Het is de pakkie-an van de verwerkingsverantwoordelijke

Bij de verwerking van persoonsgegevens duidt de GDPR één centrale actor aan, die op algemene wijze instaat voor de naleving van alle verplichtingen die de verordening oplegt: de verwerkingsverantwoordelijke.Dit is de persoon of de organisatie die bepaalt voor welke doeleinden en op welke manier de gegevensverwerking plaatsvindt.

Ook de verantwoordingsplicht (accountability) rust op de schouders van deze verwerkingsverantwoordelijke. Concreet betekent dit dat wanneer je als organisatie optreedt als verwerkingsverantwoordelijke, je moet kunnen aantonen dat de gegevensverwerkingen voldoen aan de GDPR-regels. Op die manier wordt van jouw onderneming een bewuste en vooral ook proactieve houding verwacht. Het volstaat met andere woorden niet om voldoende gegevensbescherming te bieden, je moet ook op elk gegeven moment kunnen voorleggen waaruit die bescherming precies bestaat, en welke stappen je hiertoe genomen hebt.

Maatregelen die de GDPR oplegt

Hoe je deze waarborgen hardmaakt? Door gepaste maatregelen te nemen. Die gepastheid varieert natuurlijk van geval tot geval. De GDPR voorziet echter uitdrukkelijk in een aantal verplichte formaliseringen die in bepaalde situaties verricht moeten worden. Afhankelijk van de situatie (bv. de soort verwerking of taakverdeling in de organisatie) kunnen extra documentatie maatregelen aangewezen zijn. We bespreken eerst de verplichte maatregelen die uitdrukkelijk in de GDPR staan.

Verwerkingsregister

Een bedrijf is bijna altijd verplicht om een register van verwerkingsactiviteiten (of korter: verwerkingsregister) bij te houden. Daarin wordt informatie opgenomen over de persoonsgegevens die het bedrijf verwerkt. De verplichting geldt immers voor ondernemingen die:

  • 250 medewerkers of meer tewerkstellen;
  • persoonsgegevens verwerken die een hoog privacyrisico inhouden voor betrokkenen;
  • bijzondere categorieën van persoonsgegevens verwerken (de zogenaamde ‘gevoelige gegevens’);
  • verwerkingen doen die niet-incidenteel zijn.

Aangezien een verwerking bijna nooit niet-incidenteel is, zal zo goed als elke gegevensverwerking gepaard gaan met een registratieplicht.

In het verwerkingsregister moet je als verwerkingsverantwoordelijke de volgende elementen opnemen:

  • de naam en contactgegevens van de organisatie of de vertegenwoordiger van de organisatie, van eventuele andere gezamenlijke verwerkingsverantwoordelijken, van de eventueel aangestelde functionaris en van eventuele internationale organisaties waarmee de organisatie persoonsgegevens deelt;
  • de doeleinden waarvoor persoonsgegevens worden verwerkt;
  • de categorieën van personen van wie gegevens worden verwerkt;
  • de categorieën van persoonsgegevens die verwerkt worden;
  • de bewaartermijn van de gegevens;
  • de categorieën van ontvangers aan wie persoonsgegevens worden verstrekt;
  • het feit dat gegevens worden gedeeld met een land of internationale organisatie buiten de EU;
  • een algemene beschrijving van de technische en organisatorische maatregelen die je genomen hebt om de persoonsgegevens die je verwerkt, te beveiligen.

Data protection impact assessment (DPIA)

Een Data Protection Impact Assessment (DPIA) of gegevensbeschermingseffectbeoordeling in het Nederlands, moet je verplicht uitvoeren voor gegevensverwerkingen met een hoog privacyrisico. Met dit instrument ga je vooraf de privacyrisico’s van een gegevensverwerking in kaart brengen. Een risicoanalyse dus. Meer details hierover krijg je in een volgende blog!

Register bijhouden van datalekken

Om aan de verantwoordingsplicht te voldoen zal je ook datalekken die zich voordoen, moeten bijhouden in een logboek. Op die manier kan je documenteren wat zich wanneer heeft voorgedaan, en welke acties er ondernomen werden.

De gegeven toestemming van de betrokkene

De toestemming van de betrokkene is een belangrijke grond die als basis kan liggen van een verwerking. Het is dan ook belangrijk dat de verwerkingsverantwoordelijke de daadwerkelijke toestemming van een betrokkene kan bewijzen voor een gegevensverwerking waarbij die toestemming vereist is. Het volstaat dus niet om toestemming te vragen waar nodig, je moet dit ook documenteren en bijhouden.

Motivering aanstelling DPO

In drie specifieke situaties ben je volgens de GDPR verplicht om een Data Protection Officer (DPO) of functionaris voor gegevensbescherming (FG) aan te stellen:

  • uw organisatie is een overheidsinstantie of overheidsorgaan;
  • de activiteit van de verantwoordelijke of de verwerker omvat hoofdzakelijk gegevensverwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereist;
  • de activiteit van de verantwoordelijke of de verwerker betreft hoofdzakelijk grootschalige verwerkingen van bijzondere categorieën van gegevens.

De twee laatstgenoemde situaties zijn voor interpretatie vatbaar waardoor je zou kunnen twijfelen of jouw onderneming al dan niet verplicht is een DPO te hebben. Volgens de verantwoordingsplicht ben je bij dergelijke twijfel verplicht om goed te motiveren waarom je er uiteindelijk voor gekozen hebt om al dan niet een DPO aan te stellen.

Andere maatregelen

Belangenconflict DPO

De GDPR stelt dat de DPO ook andere taken en plichten binnen een organisatie kan vervullen, maar de verwerkingsverantwoordelijke of verwerker moet er dan wel over waken dat deze taken of plichten niet resulteren in een belangenconflict (conflict of interest). Hoe zou je hier als verwerkingsverantwoordelijke kunnen voldoen aan de verantwoordingsplicht? Of nog: hoe kan je aantonen dat de gepaste maatregelen zijn genomen om na te gaan dat er geen belangenconflict bestaat tussen de verschillende taken van de DPO? Door te voorzien in een document (vaak ‘DPO Charter’ genoemd) dat bewijst dat de onderneming aan de hand van interne regels eventuele belangenconflicten voorkomt.

Rechten van betrokkenen

Om aan te tonen dat de rechten van de betrokkenen werden gerespecteerd, ga je het verzoek van deze personen goed moeten bijhouden in een register of logboek. Denk hier bijvoorbeeld aan het recht tot inzage of het recht op vergetelheid.

Conclusie

Doe je al je uitstekende best om de persoonsgegevens te beschermen? Prima! Maar vergeet dan zeker ook niet om dit te documenteren! Anders loop je het risico dat al je inspanningen een maat voor niets zijn…

Heb je wat hulp nodig me die laatste documentaire loodjes? Meer informatie kan je steeds bekomen via hallo@dejuristen.be.

Geschreven door Larissa De Keyser, Trainee deJuristen, Duygu Öztürk – CIPP/E, Privacy Chair deJuristen en Kris Seyen, Partner deJuristen

Onze diensten

Information Technology

Intellectuele Eigendom

Privacy

e-Compliance