CHECKLIST: Wat moet ik doen als verwerkingsverantwoordelijke?

De belangrijkste plichten op grond van de Verordening voor de verwerkingsverantwoordelijke zijn:

 • Als verantwoordelijke dient u een register van verwerkingsactiviteiten bij te houden (‘de registerplicht’);
 • In bepaalde gevallen dient u een functionaris voor gegevensbescherming aan te stellen;
 • Voorafgaand aan risicovolle verwerkingsactiviteiten dient u een ‘gegevensbeschermingseffectbeoordeling’ uit te voeren;
 • U dient de Autoriteit Persoonsgegevens onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle verwerkingsactiviteit te raadplegen (‘de voorafgaande raadpleging’);U dient passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens. Bij het inrichten van verwerkingen dient u rekening te houden met het principe van privacy door ontwerp en standaardinstellingen (‘privacy by design & default’); Overigens is de praktijk dat veelal de verwerker het niveau van beveiliging bepaalt. Meestal bent u immers afhankelijk van een verwerker die de beoogde verwerkingen via automatisering mogelijk maakt, bijvoorbeeld bij een administratie of HRM softwarepakket.
 • U dient in het geval van een datalek melding te doen bij de Autoriteit Persoonsgegevens en onder bepaalde omstandigheden betrokkenen daarover te informeren;
 • U dient afspraken te maken met verwerkers.
 • U dient informatie (privacystatement) te geven aan betrokkenen waarvan u persoonsgegevens verwerkt, namelijk:
   • Uw bedrijfsnaam en contactgegevens of contactgegevens van uw functionaris gegevensbescherming
   • De verwerkingsdoeleinden
   • De ontvangers van de persoonsgegevens
   • Of u voornemens bent om persoonsgegevens door te geven buiten de EU
   • De duur van de opslag van persoonsgegevens
   • De rechten van de betrokkene op inzage, rectificatie en wissing en het recht om toestemming in te trekken of een klacht in te dienen bij de Autoriteit Persoonsgegevens
   • De gevolgen die er kunnen zijn (bijvoorbeeld ontbinding van een contract) indien een betrokkene weigert de persoonsgegevens te verstrekken.
   • Het wel / niet bestaan van geautomatiseerde besluitvormingWanneer u de gegevens via een ander heeft verkregen en niet via de betrokkene zelf, dient u aanvullend de volgende informatie te verstrekken:
   • Welke persoonsgegevens u verwerkt
   • De bron van de persoonsgegevens, ook indien zij afkomstig zijn van openbare bronnen, zoals de Kamer van Koophandel of Handelsregister, of via Google of andere zoekmachine.