Ons team aan het woord over de AVG: Privacy by Design en Default en het register van verwerkingen

July 25, 2018
De AVG staat centraal in het werk van ons team. Dit betekent dat we er iedere dag mee werken, de teksten analyseren, de verplichtingen willen doorgronden en deze met name willen vertalen naar praktische handvatten voor onze klanten. Met welk artikel werken onze collega’s het liefst? Hoe helpen we onze klanten om het artikel te implementeren? In deze blogreeks is ons team aan het woord, elk over één artikel in het bijzonder. Vandaag staat de blogreeks in het kader van de beginselen Privacy by Design en Default en de plicht om een register van verwerkingsactiviteiten aan te leggen!

Cora

Wanneer je als verwerkingsverantwoordelijke of verwerker persoonsgegevens verwerkt, heb je een aantal algemene verplichtingen. Eén van deze verplichtingen is dat je bij de verwerking van persoonsgegevens ervoor moet zorgen dat privacy al vanaf het moment van ontwikkeling tot aan het laatste gebruik goed gewaarborgd is binnen de producten en diensten. Daarnaast is het van belang dat je als organisatie de betrokkene beschermt door de instellingen en functies van deze producten standaard op de meest privacyvriendelijke stand te zetten. Over deze beginselen schrijft Cora het volgende:

“Het meenemen van privacy in de ontwikkeling van nieuwe producten en processen en daarnaast de meest privacy vriendelijke instelling als uitgangspunt nemen. Tijdens mijn werkzaamheden zie ik dat het implementeren van privacy als lastig kan worden ervaren. Maar wanneer het belang wordt ingezien, en het besef komt van de mogelijkheden van privacy, komen de meest inventieve en verrassende ideeën naar boven om het product of proces werkbaar én privacy vriendelijk te maken.”

Sterre

Eén van de andere algemene verplichtingen die de verwerkingsverantwoordelijke en - in mindere mate - de verwerker heeft, is het inrichten en bijhouden van een register van de verwerkingsactiviteiten. Deze verplichting houdt in dat je voor iedere verwerkingsactiviteit een aantal zaken moet registreren, zoals het doel, de relevante categorieën van betrokkenen/persoonsgegevens en de ontvangers van deze persoonsgegevens. Sterre schrijft het volgende over de verplichting van artikel 30 AVG:

“Dit is denk ik één van de meest tijdrovende verplichtingen voor organisaties. Een deelnemer aan één van onze trainingen gaf de mooie vergelijking dat je het kan zien als de boekhouding van de persoonsgegevens. En deze boekhouding kan op verschillende manieren worden ingericht. Sommige organisaties kiezen voor het gebruik van een Excel template, terwijl andere organisaties gebruik maken van specialistische software. Ook kan het inrichten van het register een mooie kans zijn om, in combinatie met data management, een effectievere en efficiëntere bedrijfsvoering te creëren.”

Nieuwsgierig naar welke andere onderdelen uit de AVG onze collega’s gaan vertellen? Morgen – op 26 juli tijdens het middaguur – vertellen Erwin en Anouk over de meldplicht datalekken!

Download
Cora
Adviseur