Logboek
In het 10 stappenplan vind je terug welke eisen de AVG aan je stelt. Zorg daarnaast dat je kunt aantonen hoe je de AVG voldoet, de zogenaamde verantwoordingsplicht. Leg vast hoe je je hebt voorbereid, welke acties je hebt genomen, welke keuzes je hebt gemaakt. Daarmee kun je aan de Autoriteit Persoonsgegevens laten zien welke inspanningen je hebt geleverd om aan de AVG te voldoen.
Verplichte maatregelen
In de AVG staan een aantal verplichte maatregelen genoemd waarmee je aan je verantwoordingsplicht voldoet. Naast de verplichte maatregelen kunt u ervoor kiezen om extra maatregelen te nemen.
- het kunnen aantonen dat je gegevensverwerking in overeenstemming is met de beginselen van de AVG
- het bijhouden van een register van verwerkingsactiviteite
- het bijhouden van een register van datalekken die zijn opgetreden
- het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer je voor een verwerking toestemming nodig heeft
- wanneer onduidelijk is of je verplicht bent om een Functionaris voor gegevensbescherming aan te stellen, moet je goed kunnen onderbouwen waarom je ervoor gekozen hebt om al dan niet een FG aan te stellen
Extra maatregelen
Naast de verplichte maatregelen kun je ervoor kiezen om extra maatregelen te nemen waarmee je aantoont dat je voldoet aan de eisen van de AVG. Bijvoorbeeld:
- het vastleggen van de stappen die je hebt genomen om de AVG in te voeren
- het vastleggen van een specifiek ICT-beveiligingsbeleid, waarin duidelijk is welke keuzes en afwegingen je hebt gemaakt over de passendheid van maatregelen
- het hanteren van een procedure hoe je omgaat met datalekken
- het vastleggen van werkafspraken over de omgang met persoonsgegevens
- het aantonen van de kennis die je hebt opgedaan, bijvoorbeeld met de Adfiz-certificaten van de privacy-bijeenkomsten
- het afleggen van verantwoording over de verwerking van persoonsgegevens in je jaarverslag of in een speciaal privacy-jaarverslag.
- het vastleggen waarom je met bepaalde ontvangers geen verwerkersovereenkomst sluit, zoals in de relatie pensioen/inkomensadviseur-werkgever en in de relatie adviseur-verzekeraar (zie onze modellen)
- het aantonen hoe je medewerkers hebt geïnformeerd over je AVG-beleid
Hoewel deze maatregelen niet verplicht zijn, helpen zij je wel om aan de toezichthouder te laten zien dat je voldoet aan de eisen van de AVG. Daarom moedigt de Autoriteit dit soort vrijwillige maatregelen wel aan.