CHECKLIST: Wat moet ik doen als verwerkingsverantwoordelijke?

De belangrijkste plichten op grond van de Verordening voor de verwerkingsverantwoordelijke zijn:

  • Als verantwoordelijke dient u een register van verwerkingsactiviteiten bij te houden (‘de registerplicht’);
  • In bepaalde gevallen dient u een functionaris voor gegevensbescherming aan te stellen;
  • Voorafgaand aan risicovolle verwerkingsactiviteiten dient u een ‘gegevensbeschermingseffectbeoordeling’ uit te voeren;
  • U dient de Autoriteit Persoonsgegevens onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle verwerkingsactiviteit te raadplegen (‘de voorafgaande raadpleging’);U dient passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens. Bij het inrichten van verwerkingen dient u rekening te houden met het principe van privacy door ontwerp en standaardinstellingen (‘privacy by design & default’); Overigens is de praktijk dat veelal de verwerker het niveau van beveiliging bepaalt. Meestal bent u immers afhankelijk van een verwerker die de beoogde verwerkingen via automatisering mogelijk maakt, bijvoorbeeld bij een administratie of HRM softwarepakket.
  • U dient in het geval van een datalek melding te doen bij de Autoriteit Persoonsgegevens en onder bepaalde omstandigheden betrokkenen daarover te informeren;
  • U dient afspraken te maken met verwerkers.
  • U dient informatie (privacystatement) te geven aan betrokkenen waarvan u persoonsgegevens verwerkt, namelijk:
      • Uw bedrijfsnaam en contactgegevens of contactgegevens van uw functionaris gegevensbescherming
      • De verwerkingsdoeleinden
      • De ontvangers van de persoonsgegevens
      • Of u voornemens bent om persoonsgegevens door te geven buiten de EU
      • De duur van de opslag van persoonsgegevens
      • De rechten van de betrokkene op inzage, rectificatie en wissing en het recht om toestemming in te trekken of een klacht in te dienen bij de Autoriteit Persoonsgegevens
      • De gevolgen die er kunnen zijn (bijvoorbeeld ontbinding van een contract) indien een betrokkene weigert de persoonsgegevens te verstrekken.
      • Het wel / niet bestaan van geautomatiseerde besluitvormingWanneer u de gegevens via een ander heeft verkregen en niet via de betrokkene zelf, dient u aanvullend de volgende informatie te verstrekken:
      • Welke persoonsgegevens u verwerkt
      • De bron van de persoonsgegevens, ook indien zij afkomstig zijn van openbare bronnen, zoals de Kamer van Koophandel of Handelsregister, of via Google of andere zoekmachine.