Als u een functie hebt als senior leidinggevende in een bedrijf, is de kans groot dat u wat te zeggen heeft bij het bepalen van het doeleinde en de middelen wat betreft het verwerken van persoonsgegevens. U begrijpt de significantie van de regels voor gegevensbescherming en de consequenties van een datalek. 

Maar bent u volledig op de hoogte van uw aansprakelijkheden? 

De aansprakelijkheden voor gegevensbescherming voor senior leidinggevenden verwijzen vaak naar de wettelijke verplichtingen voor het verwerken van persoonsgegevens en de bijbehorende risico’s die daarbij kunnen optreden. Met een grondig begrip van de gegevensbeschermingswetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG), weet u zeker dat u de juiste proactieve maatregelen neemt om de risico’s zo klein mogelijk te houden en uw persoonlijke aansprakelijkheid te minimaliseren. 

In deze blog ontdekken we de verschillende leiderschapsrollen, hun verantwoordelijkheden voor gegevensbeschermingsbeheer en de verschillende risico’s die daarbij horen, van reputatieschade tot financiële en wettelijke sancties. We geven ook een overzicht van de manieren waarop u deze risico’s kunt beperken en u kunt verzekeren van naleving van de gegevensbeschermingswetging. 

De verschillende taken van gegevensbeschermingsbeheer voor verschillende senior leidinggevenden in een organisatie

Gegevensbeschermingsbeheer is een verantwoordelijkheid die vele kanten kent. Het vereist een collectieve inspanning van de verschillende leiderschapsfuncties. Deze collectieve inspanning is van essentieel belang omdat elke senior leidinggevende een unieke expertise en eigen perspectieven bijdraagt aan de algehele gegevensbeschermingsstrategie. 

Een goed uitgewerkte aanpak voor gegevensbescherming zorgt niet alleen voor naleving van de privacywetgeving, maar helpt ook om vertrouwen en een zeker gevoel op te bouwen bij belanghebbenden en klanten. 

Hier is een aantal voorbeelden van de belangrijkste gegevensbeschermingsverantwoordelijkheden voor de verschillende senior functies: 

Met welke aansprakelijkheden inzake gegevensbescherming kunnen C-suite executives te maken krijgen?

Niet-naleving van de gegevensbeschermingswetgeving kan voor organisaties leiden tot verschillende consequenties, van wettelijke en financiële sancties tot reputatieschade. 

Laten we er eens een paar hiervan in meer detail bekijken. 

Boetes

Hoewel de AVG een gemeenschappelijk kader biedt, kunnen de boetes voor gegevensbeschermingsschendingen variëren tussen de Lidstaten, al naar gelang de specifieke omstandigheden en nationale wetgeving. 

Onder de Nederlandse Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) kunnen senior leidinggevenden persoonlijk aansprakelijk worden gesteld als blijkt dat zij direct betrokken waren bij beslissingen die hebben geleid tot non-compliance. 

Op gelijke wijze kunnen senior leidinggevenden onder de Spaanse Wet inzake Gegevensbescherming te maken krijgen met substantiële boetes voor serieuze schendingen, waaronder ongeautoriseerde toegang tot persoonsgegevens. 

In 2021 werd een Duitse CEO schuldig bevonden aan het zonder toestemming verzamelen en gebruiken van persoonsgegevens toen hij een detective inhuurde om onderzoek te doen naar een werknemer. De uitkomst was dat hij als schadevergoeding een som van €5.000 moest betalen. 

Strafrechtelijke vervolging 

De afzonderlijke EU Lidstaten hebben hun eigen wetgeving waarin de strafbare feiten inzake gegevensbeschermingsschendingen zijn vastgesteld, wat kan leiden tot strafsancties. 

In mei 2023 ontving een Finse CEO naar aanleiding van een incident rondom gegevensdiefstal een voorwaardelijke gevangenisstraf van 10 maanden. Als gevolg van het lek vroeg het bedrijf het faillissement aan, waardoor investeerders geconfronteerd werden met een verlies van in totaal £237 miljoen. 

Operationele beperkingen 

De toezichthoudende autoriteiten kunnen senior leidinggevenden schorsen tijdens een onderzoek naar significante lekken. In ernstige gevallen kunnen de gegevensbeschermingsautoriteiten voorkomen dat senior leidinggevenden binnen een organisatie bepaalde functies bekleden, als zij verantwoordelijk worden gehouden voor dergelijke schendingen. 

Aansprakelijkheden inzake gegevensbescherming in een andere jurisdictie 

Het is belangrijk dat senior leidinggevenden goed begrijpen welke wetten van toepassing zijn op hun organisatie, zeker wanneer zij actief zijn in meerdere jurisdicties. Dit is omdat verschillende regelgevingen verschillende boetes of wettelijke straffen voor schendingen met zich mee brengen. 

Tips voor het beperken van de gegevensbeschermingsrisico’s

Senior leidinggevenden kunnen hun persoonlijke aansprakelijkheid beperken door de relevante gegevensbeschermingswetgeving na te leven en ervoor te zorgen dat de juiste procedures ingesteld zijn om het risico op een datalek te verkleinen. Bijvoorbeeld:  

Privacy by design 

U dient vanaf begin af aan rekening te houden met de gegevensbescherming en dit te implementeren in de systemen, diensten en procedures van uw organisatie. Hiermee toont u proactief uw toewijding aan gegevensbescherming aan en draagt u bij aan het bouwen van een bedrijfscultuur waarin privacy centraal staat. 

Blijf op de hoogte 

Goed op de hoogte blijven van de privacyregels zorgt ervoor dat uw organisatie de regels juist naleeft. Van de nieuwste technologische ontwikkelingen op de hoogte blijven is ook nuttig voor het voortdurend beoordelen en beheren van potentiële risico’s. 

Risicobeoordeling 

U dient regelmatig data protection impact assessments (DPIA’s) uit te voeren om potentiële kwetsbaarheden in de activiteiten, systemen en processen van uw organisatie op te sporen. Dit stelt u ook in staat om prioriteit te geven aan gebieden met een hoog risico en om de juiste maatregelen te implementeren.  

Plan van aanpak bij een datalek 

Het ontwikkelen van een effectief plan van aanpak bij een datalek, dat bovendien regelmatig getest wordt, stelt uw organisatie in staat om adequaat te reageren op incidenten. Dit minimaliseert de impact ervan op de bedrijfsactiviteiten en vermindert de financiële impact en reputatieschade. 

Toegangsbeheer 

Toegangsbeheer regelt wie persoonsgegevens kan inzien en gebruiken. Het implementeren van een sterk toegangsbeheer helpt bij het behouden van de vertrouwelijkheid van gegevens door ongeautoriseerde toegang te voorkomen. Ook worden toegangspatronen bestudeerd om potentiële beveiligingslekken op te sporen. Senior leidinggevenden dienen na te denken over het beperken van de toegang tot de persoonsgegevens op basis van iemands functie en de bijbehorende verantwoordelijkheden en moeten deze privileges regelmatig opnieuw beoordelen. 

Trainen van het personeelsbestand 

Regelmatig trainingen inzake gegevensbescherming geven verhoogt het begrip van het personeel van de gegevensverwerkingswetgeving, het bedrijfsspecifieke beleid en de procedures, en de verantwoordelijkheden van het personeel om persoonsgegevens veilig te bewaren. Het trainingsmateriaal moet regelmatig herzien worden om te garanderen dat het up-to-date is met de regelgeving. 

Een professional op het gebied van gegevensbescherming

Wijs een ervaren professional aan, bij wie geen sprake is van belangenverstrengeling. Zo weet u zeker dat uw organisatie altijd op de hoogte is van de nieuwste wet- en regelgeving. De professional kan u adviseren over het hoogste niveau van beheer inzake privacyrisico’s en -overwegingen. 

Samenvatting 

C-suite executives en seniorleiders spelen een essentiële rol in het veilig bewaren van de gegevens van hun organisatie en de persoonsgegevens van belanghebbenden, werknemers en klanten. Non-compliance met de gegevensbeschermingswetgeving maakt senior leidinggevenden kwetsbaar voor gegevensbeschermingsrisico’s, waaronder financiële boetes en juridische maatregelen. 

Alle organisaties streven ernaar een datalek te voorkomen. Toch kan een datalek plaatsvinden, bijvoorbeeld dankzij een geavanceerde cyberaanval, kwetsbaarheden in de infrastructuur van de organisatie of een menselijke fout. Daarom is het van essentieel belang om de risico’s zo klein mogelijk te houden door te beschikken over een sterk compliancekader en proactieve maatregelen. Deze maatregelen helpen de gegevensbeschermingsrisico’s te minimaliseren en zorgen ervoor dat de gegevensbeschermingswetgeving wereldwijd wordt nageleefd. 

Als het executive team van uw organisatie baat zou hebben bij externe ondersteuning inzake uw gegevensbeschermingscompliance, neem dan contact met ons op. 

Voor meer informatie over privacyrisico’s voor C-suite executives 

Volg ons aankomende GRATIS webinar, dat deel uitmaakt van de wereldwijde webinarserie Privacy Puzzle. 

Ons Nederlandse team en toonaangevende gasten uit de branche bespreken de essentiële proactieve maatregelen waarmee u risico’s en aansprakelijkheden minimaliseert. 

IGNORANCE IS NOT BLISS: 
What are the personal liabilities for C-suite executives under the GDPR? 
03:00 EDT | 08:00 BST | 09:00 CEST 

Registreer direct en verzeker u van een plekje! 

Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

The post Het begrijpen van risico’s inzake gegevensbescherming voor C-suite executives en senior leidinggegevenden appeared first on DPO Centre.

Volgens Artikel 37 van de AVG zijn organisaties verplicht een functionaris voor gegevensbescherming aan te stellen indien:

• Zij een overheidsinstantie of -orgaan zijn
• Hun belangrijkste verwerkingsactiviteiten een regelmatige en systematische controle van de betrokkenen op grote schaal vereisen
• Zij op grote schaal bijzondere categorieën van gegevens verwerken

Organisaties die niet bij wet verplicht zijn een FG aan te stellen, doen dit echter vaak toch. Zo bouwen zij hun nalevingskader uit, bewaken zij de naleving ervan en ondersteunen zij hun verplichtingen op het gebied van gegevensbescherming.

In lid 6 van artikel 37 staat dat een organisatie een personeelslid kan aanstellen als aangewezen FG, of de functie kan uitbesteden. Dit leidt tot de vraag: uitbesteden of intern – wat is het beste?

Ons antwoord? externe FG, en wel hierom.

Pool van expertise

Hoewel er, in tegenstelling tot andere vergelijkbare beroepen, geen specifieke kwalificatie is die alle FG’s moeten bezitten, stelt de AVG dat de keuze van een organisatie voor een FG gebaseerd moet zijn op “professionele kwaliteiten en, in het bijzonder, kennis van de wetgeving op het gebied van gegevensbescherming”.

Het gegevensbeschermingsrecht is complex. Het is bijna onmogelijk dat één persoon beschikt over deskundige kennis over al deze onderwerpen, van de rechten van de betrokkenen tot internationale gegevensoverdrachten en de toepassing van passende technische en organisatorische beveiligingsmaatregelen. Bovendien zijn er belangrijke sectorspecifieke nuances (zowel afgeleid van de AVG zelf als van de vele andere sectorspecifieke regels en voorschriften die er zijn), waardoor een “gegevensbeschermingsexpert” niet altijd een expert in uw sector zal zijn. Bovendien betekent het internationale kader van bedrijfsactiviteiten en gegevensstromen dat organisaties vaak moeten voldoen aan de gegevensbeschermingsvoorschriften van meerdere rechtsgebieden en dat hun FG deze dus moet begrijpen.

Kortom: de kennis en technische expertise die nodig zijn om de uiteenlopende en vaak concurrerende vereisten van de gegevensbeschermingswetgeving van meerdere rechtsgebieden nauwkeurig toe te passen, in combinatie met sectorspecifieke expertise, is moeilijk te vinden in één FG. Door deze functie uit te besteden hoeft u er echter niet op te vertrouwen dat één persoon alles weet. Door gegevensbescherming uit te besteden aan een partij die daar helemaal in thuis is, profiteert u niet alleen van de door u aangewezen FG en zijn of haar expertise, maar ook van een pool van kennis en ervaring van andere FG’s. Zo krijgt u, ongeacht de specifieke sector of het rechtsgebied, een antwoord op al uw vragen in verband met gegevensbescherming, omdat u een beroep kunt doen op de kennis van een heel team van FG’s.  Het spreekt vanzelf dat hoe groter het team is, hoe groter de kans is dat het over de nodige kennis beschikt.

Belangenconflicten

Een van de belangrijkste vereisten van de AVG, vastgelegd in Artikel 38, is dat FG’s onafhankelijk moeten handelen. De verwerkingsverantwoordelijke mag een FG niet vertellen hoe hij zijn werk moet doen, of hem op een andere manier straffen voor de uitvoering van zijn taken, zelfs niet wanneer dit nadelig kan zijn voor de verwerkingsverantwoordelijke.

De onafhankelijkheid van de functionaris voor gegevensbescherming is zeer belangrijk omdat het naleven van uw verplichtingen op het gebied van gegevensbescherming vaak in strijd is met andere commerciële doelstellingen; de toestemming die u moet krijgen voor B2C-marketing is daarvan een uitstekend voorbeeld. Een onafhankelijke positie is dan ook essentieel om ervoor te zorgen dat de juiste controles en tegenwichten zijn ingebouwd.

Volgens Artikel 29 van de Groep gegevensbescherming (nu EDPB genoemd) mag een functionaris voor gegevensbescherming geen functie binnen de organisatie bekleden die hem/haar aanzet de doeleinden van en de middelen voor de verwerking van persoonsgegevens te bepalen. Dit houdt in dat degenen die binnen een bedrijf belangrijke beslissingen nemen – het hoger management (bijvoorbeeld de CEO, COO, hoofd marketing, hoofd IT, enz.), of andere personen die belangrijke verwerkingsactiviteiten bepalen, niet kunnen worden aangesteld als de interne FG.

Nog een belangrijk punt om te overwegen is dat de juridisch adviseur van een organisatie meestal een belangenconflict zal hebben en dus niet als FG mag worden aangesteld. Hoewel een persoon met juridische ervaring de ideale FG-kandidaat is, kan deze niet als onafhankelijk worden beschouwd als hij of zij namens u optreedt als uw juridisch adviseur en uw belangen behartigt.

Het externe FG van uw FG neemt dit probleem weg en zorgt ervoor dat u gemakkelijk aan het publiek, andere organisaties en toezichthouders kunt aantonen dat u de verplichtingen uit Artikel 38 naleeft.

Kosteneffectiviteit

Ten slotte is het uiterst kosteneffectief om uw FG uit te besteden. Door deze functie uit te besteden bespaart u zich alle extra kosten die komen kijken bij het werven en vervolgens in dienst nemen van een werknemer en hoeft u nooit de kosten te dragen van permanente opleiding, secundaire arbeidsvoorwaarden, afwezigheid, vakantie of ziekte.

Bovendien betaalt u alleen voor de tijd die u nodig hebt. Voor veel kleine- en middelgrote ondernemingen is de rol van FG vaak geen voltijdse rol; misschien is er maar een paar dagen per maand werk voor nodig, waarvoor u bijna onmogelijk iemand kunt inhuren. Door uitbesteding kunt u precies investeren in de middelen die u nodig hebt en, wat cruciaal is, als u meer nodig hebt (bijvoorbeeld omdat u te maken krijgt met een inbreuk die aanzienlijke maatregelen vereist of een complex verzoek om toegang tot persoonsgegevens ontvangt) betaalt u gewoon voor meer middelen – probleem opgelost.

Conclusie

Kortom, er zijn verschillende voordelen verbonden aan het uitbesteden van uw FG in vergelijking met het intern inhuren van personeel. Door uw FG uit te besteden, profiteert u van de kennis en gedeelde beste praktijken van een heel team van professionals op het gebied van gegevensbescherming, terwijl u ook bespaart op de tijd en het geld die verbonden zijn aan het intern inhuren van personeel.

Waarom externe FG aan The DPO Centre?

Onze externe FG dienstverlening biedt u een zeer ervaren Functionaris voor Gegevensbescherming (FG) uit ons grote team, die op locatie of op afstand werkt als een integraal lid van uw team..

U profiteert van deskundige, hands-on professionals op het gebied van gegevensbescherming die op een uiterst kosteneffectieve manier de verantwoordelijkheden van de FG op zich nemen. U krijgt daarbij ondersteuning, gedeelde beste praktijken en modeldocumentatie die is ontwikkeld op basis van de ervaring van The DPO Centre in de samenwerking met meer dan 600 organisaties.

The post Een functionaris voor gegevensbescherming aanwerven – intern vs. externe FG’ appeared first on DPO Centre.

De 5 stappen in de verwerking van een uitvoeren rechten van betrokkenen

Uit onze ervaring blijkt dat de verwerking van uitvoeren rechten van betrokkenen kan worden onderverdeeld in het volgende proces van 5 stappen:

1. Het verzoek om toegang tot de gegevens (uitvoeren rechten van betrokkenen) herkennen en registreren in uw uitvoeren rechten van betrokkenen-logboek
2. Ontvangst bevestigen en uitleggen hoe u het verzoek zult beoordelen en erop zult reageren

• • De identiteit van de verzoeker verifiëren
  • Nagaan of de verzoeker recht heeft op de informatie
  • Eventuele vrijstellingen vaststellen

3. Verzamelen en herzien van gegevens

• • Papier, elektronisch, externe verwerkers

4. Controleer het antwoord, redigeer de inhoud om specifiek de persoonlijke identificeerbare informatie van andere personen te verwijderen
5. Antwoord delen met de verzoeker

• • Registreren en loggen

1. Herkennen en ontvangen van Uitvoeren rechten van betrokkenen

Uitvoeren rechten van betrokkenen zijn verzoeken van personen (bekend als een betrokkene) die vragen welke PII u over hen bewaart.

Er is geen specifiek formaat vereist om een verzoek om een uitvoeren rechten van betrokkenen in te dienen – we hebben verzoeken gezien die mondeling, per brief, per e-mail, online chatfaciliteit en zelfs per post op sociale media zijn gedaan – ze zijn allemaal even geldig. De uitvoeren rechten van betrokkenen hoeft ook niet specifiek te verwijzen naar de AVG en u kunt en mag iemand niet vragen waarom hij het verzoek indient: u hebt geen wettige reden om deze vraag te stellen.

Het belangrijkste is ervoor te zorgen dat uw personeel een verzoek om toegang tot gegevens herkent wanneer dit wordt ingediend. Wij adviseren een toegewezen persoon of afdeling aan te wijzen die uitvoeren rechten van betrokkenen ontvangt en voorkomt dat ze verloren gaan. Als zij het niet zeker weten, kunnen zij altijd advies inwinnen bij uw functionaris voor gegevensbescherming of bij het Autoriteit Persoonsgegevens (AP).

Alle Uitvoeren rechten van betrokkenen moeten worden geregistreerd in een uitvoeren rechten van betrokkenen-logboek, zodat u de details van het verzoek, de ondernomen actie en de duur van het antwoord kunt bijhouden.

2. Ontvangst bevestigen en uitleggen hoe u het verzoek zult beoordelen en erop zult reageren

Veel Uitvoeren rechten van betrokkenen zijn eenvoudig te verwerken, maar we zien dat Uitvoeren rechten van betrokkenen worden gebruikt als middel om lastige verzoeken te doen of als poging om organisaties gegevens te ontfutselen waar de verzoeker geen recht op heeft. Voordat u veel tijd en moeite steekt in het verzamelen van gegevens, moet u dus altijd

• • De identiteit van de verzoeker verifiëren

Zorg ervoor dat de verzoeker is wie hij zegt dat hij is, vooral als het verzoek niet persoonlijk wordt gedaan. Het geven van persoonlijke informatie aan iemand anders is een inbreuk op de gegevens en zal de problemen alleen maar verergeren. Controleer in geval van twijfel de identiteit van de aanvrager, bijvoorbeeld door een identiteitsbewijs met foto te vragen, zoals een paspoort of rijbewijs en een rekening van een nutsbedrijf, of vraag in sommige gevallen om een persoonlijk gesprek.

• • Nagaan of de verzoeker recht heeft op de informatie

In de meeste gevallen worden verzoeken om toegang tot persoonsgegevens ingediend door de persoon over wie u de persoonsgegevens bewaart. Verzoeken om kopieën van de persoonsgegevens van iemand anders kunnen echter ook worden ingediend door iemand die namens die persoon optreedt. Voorbeelden hiervan zijn personen die de ouderlijke verantwoordelijkheid dragen, in het bezit zijn van toestemming van de betrokkene of een volmacht hebben, en rechtshandhavingsinstanties die naar behoren zijn gesanctioneerd.

U moet er in de eerste plaats altijd voor zorgen dat de verzoeker het wettelijke recht heeft om de persoonsgegevens van iemand anders te ontvangen.

Voorbeelden van ongepaste verzoeken die we hebben gezien zijn:

• In scholen, vervreemde ouders of stiefouders die geen wettelijke voogd zijn en vragen om de persoonlijke gegevens van een leerling.
• Ontevreden klanten die informatie vragen over de bijzonderheden van andere klanten of werknemers
• Potentiële werkgevers die een vorige werkgever om een persoonlijke referentie vragen zonder de toestemming of het akkoord van de betrokkene

In dergelijke gevallen is het juiste antwoord dat er zonder de specifieke toestemming van de betrokkene geen informatie kan worden verstrekt.

Verzoeken van de politie om persoonsgegevens in het kader van haar onderzoek zijn een veel voorkomend type van uitvoeren rechten van betrokkenen dat wij hebben gezien. In deze gevallen hebben wij het verzoek aanvaard op voorwaarde dat de politie de grondslag ervan schriftelijk heeft bevestigd. Bovendien hebben wij, door de centrale van het betrokken politiebureau te bellen, bevestigd dat de politieambtenaar die het verzoek heeft ingediend, daadwerkelijk op dat bureau werkt.

• • Eventuele vrijstellingen vaststellen

Uitvoeren rechten van betrokkenen betreffen de persoonlijke informatie die u verwerkt over de persoon die om de informatie verzoekt. Ze zijn geen middel om aanvullende informatie over uw organisatie te achterhalen, om informatie over anderen te verkrijgen of om anderszins bevoorrechte informatie te ontfutselen.

Zo kan een ouder in een school legitiem een uitvoeren rechten van betrokkenen gebruiken om informatie te vragen over de prestaties van zijn of haar kind of over de redenen waarom bepaalde beslissingen zijn genomen. Een uitvoeren rechten van betrokkenen kan niet worden gebruikt om informatie op te vragen over de prestaties van andere individuele leerlingen om een vergelijking te kunnen maken, of kan niet worden gebruikt om een ander kind te identificeren dat betrokken is bij een woordenwisseling of een disciplinaire procedure. Er kunnen tegenstrijdige voorschriften zijn waardoor bepaalde PII niet mag worden vrijgegeven – bijvoorbeeld wanneer het niet in het belang van het kind is om gevoelige veiligheidsinformatie waarover een school beschikt, vrij te geven.

In de handelswereld hebben wij ervaren dat indieners denken dat zij vorderingen hebben tegen ondernemingen die Uitvoeren rechten van betrokkenen gebruiken als een middel om te proberen juridisch bevoorrechte informatie te ontfutselen.

In het geval van dergelijke tegenstrijdige eisen moet u een “afweging” maken om de hoeveelheid persoonlijke informatie vast te stellen die moet worden verzameld en gedeeld met de verzoeker.

Om uw werk bij het verzamelen en voorbereiden van de informatie te beperken, is het altijd het beste om (zoals hierboven beschreven) de identiteit van de verzoeker te verifiëren, zijn recht op de informatie te bevestigen en eventuele uitzonderingen vanaf het begin te identificeren. Vervolgens kunt u de verzoeker vooraf bevestigen en antwoorden en uitleggen welke informatie u al dan niet mag verstrekken.

Als u twijfels hebt, kan een ervaren functionaris voor gegevensbescherming met kennis van uw organisatie en van de praktische toepassing van de wetgeving, van onschatbare waarde zijn en u veel tijd en middelen besparen.

3. Verzamelen en herzien van gegevens

Zodra u de uitvoeren rechten van betrokkenen hebt bevestigd en hebt bepaald welke informatie nodig is, moet u uit alle nodige bronnen alle bestanden met persoonsgegevens verzamelen en controleren. U hebt slechts 30 dagen om de gegevens te verzamelen en met de verzoeker te delen, dus dit kan een lastige taak zijn – vooral omdat de gegevens zowel op papier als in elektronische vorm kunnen zijn, en vergeet niet de informatie van de derde partijen die gegevens verwerken en deel uitmaken van uw gegevensverwerkingsketen.

Eén van onze cliënten kreeg een bijzonder moeilijk verzoek van iemand die een legitiem uitvoeren rechten van betrokkenen-verzoek indiende om transcripties te verstrekken van de meer dan 100 telefoongesprekken en opgenomen berichten die hij had gevoerd. Dit kostte veel tijd en moeite om de gegevens te verzamelen en te controleren.

De systemen die in alle gevallen van onschatbare waarde zijn, zijn systemen waarin gegevens centraal worden opgeslagen, doorzoekbaar zijn en gemakkelijk kunnen worden ingezien en opgehaald. Het opslaan van informatie op meerdere fysieke locaties of als papieren dossiers, kan het werk om de gegevens te ordenen aanzienlijk vergroten.

AVG schrijft voor dat u binnen 30 dagen na verificatie van de identiteit van de verzoeker op uitvoeren rechten van betrokkenen moet reageren. Voor complexe verzoeken kan dit worden verlengd tot 90 dagen, op voorwaarde dat u de verzoeker vóór het verstrijken van de oorspronkelijke termijn van 30 dagen informeert over de redenen voor de verlenging van de antwoordtermijn.

4. Controleer het antwoord en verwijder alle PII van andere personen

Controleer het antwoord voordat u informatie deelt met de indiener van het verzoek. Zorg ervoor dat de informatie volledig is, maar zorg er ook voor dat verwijzingen naar andere personen zijn weggelaten (d.w.z. voor papieren dossiers, weggelaten met een zwarte weglatingsstift), aangezien dit een inbreuk zou zijn op de persoonsgegevens van andere personen. Wijs een specifieke persoon of afdeling aan die verantwoordelijk is voor het redigeren van informatie, aangezien dit een specialistische taak is.

Het is doorgaans een goed idee om de controle te laten uitvoeren door iemand anders dan degene die de informatie heeft verzameld, waarbij de verantwoordelijkheid vaak bij de functionaris voor gegevensbescherming ligt.

5. Antwoord delen met de verzoeker

Tenslotte deelt u het antwoord met de indiener van het verzoek en verwijst u in uw antwoord naar het oorspronkelijke verzoek. Zorg er altijd voor dat u een exacte kopie bewaart van alle verzonden informatie en dat u uw antwoord registreert in uw logboek voor verzoeken om toegang tot gegevens.

Samenvatting

Het aantal uitvoeren rechten van betrokkenen blijft toenemen doordat personen hun rechten onder de AVG beter begrijpen en uitvoeren.

De expertise van een ervaren FG in het verwerken van uitvoeren rechten van betrokkenen kan voor u van onschatbare waarde zijn om ervoor te zorgen dat er efficiënt, effectief en wettelijk op uitvoeren rechten van betrokkenen wordt gereageerd.

Dankzij onze samenwerking met meer dan 600 organisaties, kan het team van ervaren FG’s van The DPO Centre het nodige advies, de nodige begeleiding en de nodige modeldocumenten verschaffen om tijdig, gepast en wettelijk te reageren op uitvoeren rechten van betrokkenen. 

The post Uitvoeren rechten van betrokkenen – 5 essentiële stappen appeared first on DPO Centre.