Welke documentatie moet je op orde hebben onder de Algemene Verordening Gegevensbescherming?

Dit is de volgende blogpost in onze reeks over het implementatieproces van de Algemene Verordening Gegevensbescherming. Deze post gaat het over documenten. En dan niet de documenten met persoonsgegevens die je moet beschermen, maar de documenten die benodigd zijn om die bescherming mede vorm te geven. De privacyverordening is voor een belangrijk deel gebaseerd op het kunnen verantwoorden van de manier waarop een organisatie persoonsgegevens verwerkt. Dat verantwoorden geldt ten aanzien van de juiste beveiligingsmaatregelen, juiste inrichting van systemen, goede awareness, het inrichten van verschillende procedures en het op orde hebben van verschillende overeenkomsten. Deels gaat het dus om technische maatregelen, deels om organisatorische afspraken. Maar aan al die afspraken en maatregelen liggen documenten ten grondslag. In deze post ga ik daar op in.

De documenten zijn op te delen in drie hoofdcategorieën:

  1. Documenten met beleid,
  2. Documenten met procedures,
  3. Documenten waarin overeenkomsten met derden zijn vastgelegd

Documenten met beleid

Allereerst zijn er documenten waarin het beleid van een organisatie is vastgelegd. Centraal hierin is een algemeen privacybeleid. Dit beleid geeft de belangrijkste uitgangspunten en afspraken op het gebied van privacy voor de hele organisatie weer. Daarmee kan het ook als basis dienen voor een aantal andere documenten. Bijvoorbeeld voor een korter privacy statement dat op een website of in algemene informatie gebruikt kan worden. Een dergelijk privacy statement is meteen het tweede document. Waar het privacybeleid bedoeld is voor de interne organisatie is een privacy statement juist bedoeld om externen (klanten, consumenten) te informeren over de manier waarop de organisatie met privacy omgaat. Het is dus ook een visitekaartje en vervult tevens een deel van de informatieverplichting die organisaties hebben richting betrokkenen over wie de gegevens worden verwerkt.

In lijn met het beleid is nog het gebruik van een autorisatiematrix en de afspraken over het up-to-date houden van een dergelijke matrix. In een autorisatiematrix kun je zien wie welke rechten (inzien, wijzigen, etc.) heeft voor welke persoonsgegevens. Aan de ene kant wordt bij de matrix vastgelegd wie toegang heeft tot welke gegevens en waarom, aan de andere kant wordt vastgelegd hoe frequent de autorisaties worden gecontroleerd op juistheid.

Documenten met procedures

De tweede categorie documenten gaat over procedures. Hierin is vastgelegd hoe er gehandeld dient te worden als zich iets aandient. Een belangrijke die al wat breder bekend is, is een procedure omtrent datalekken. Dit document geeft de verschillende handelingen en verantwoordelijken aan in het geval van een datalek. Aan de hand van het document kan bijvoorbeeld bepaald worden of de toezichthouder (de Autoriteit Persoonsgegevens) of betrokkenen geïnformeerd moeten worden en welke risico’s er zijn.
Een andere procedure die je als organisatie moet hebben gaat over klantrechten. Dit document bevat de stappen die gezet moeten worden als een klant bijvoorbeeld vraagt om inzage of correctie van zijn gegevens, of een beroep doet op zijn recht op vergetelheid.

Overeenkomsten met derden

Tenslotte is er de categorie documenten waarin afspraken met derden zijn vastgelegd over het omgaan met persoonsgegevens. Dit zal in de praktijk hoofdzakelijk gaan om bewerkersovereenkomsten die bij een contract horen met een dienstverlenende partij die voor een organisatie persoonsgegevens verwerkt. En als een derde partij persoonsgegevens van jouw organisatie verwerkt als ‘bijkomstigheid’ van een andere dienst, moet er een overeenkomst voor medeverantwoordelijken opgesteld worden.

Zoals gezegd in de inleiding gaat het in de privacyverordening voor een belangrijk deel om het verantwoorden van wat je als organisatie doet met persoonsgegevens. De verschillende documenten helpen hierbij en vormen een deel van de algehele data governance, waaronder ook technische maatregelen vallen, andere organisatorische maatregelen zoals awareness, en data protection impact assessments en eventueel privacy audits. De documenten helpen om overzicht te verkrijgen en dragen dus bij aan het in control zijn van de organisatie. De papieren hebben hier dus een belangrijke toegevoegde waarde.

Author image
Arnold Roosendaal
Directeur en adviseur bij Privacy Company


Dit vind je misschien ook interessant: