De verwerkingsverantwoordelijke is het bedrijf of de persoon die de macht heeft om te bepalen wat er met uw gegevens gebeurt.
In veel landen is de ‘bezitter’ van gegevens het bedrijf dat deze heeft verzameld. Op andere plaatsen, zoals in de Europese Unie, kan de “bezitter” van de gegevens echter een overheidsinstantie of een andere entiteit zijn.
De verwerkingsverantwoordelijke bepaalt de beslissingen over de doeleinden en procedures van hoe en waarom een bedrijf/website de gegevens zal gebruiken. Meestal is dit de eigenaar of beheerder van de website. Als u een website heeft, moet u dat ook zijn GDPR compliant. Er zijn verschillende stappen die u moet nemen om aan de nieuwe regelgeving te blijven voldoen, inclusief de stappen die door de EU worden vereist.
De verwerkingsverantwoordelijke is de persoon of het bedrijf die bepaalt voor welke doeleinden en op welke wijze de gegevens worden verwerkt. Als uw bedrijf beslist ‘waarom’ en ‘hoe’ de gegevens moeten worden verwerkt, is uw bedrijf dus de verwerkingsverantwoordelijke.
Als gegevensbeheerder is een individu of organisatie verantwoordelijk om ervoor te zorgen dat uw verwerking in overeenstemming is met de Algemene Gegevensbeschermingsverordening (GDPR).
Dit houdt onder meer in dat alle gegevens die namens u worden verwerkt adequaat, nauwkeurig, tijdig en veilig zijn.
Verplichtingen van verwerkingsverantwoordelijken: U (de individuele verwerkingsverantwoordelijken) moet overeenkomen wie de specifieke verplichtingen voor de verwerkingsverantwoordelijke zal nakomen AVG omdat elke verwerkingsverantwoordelijke verantwoordelijk is voor naleving met alle AVG-verantwoordelijkheden.
Artikel 26 bepaalt dat als de partijen gezamenlijk het doel en de middelen van de verwerking bepalen, beiden als gezamenlijke verwerkingsverantwoordelijken worden beschouwd. De AVG gaat niet verder in op dit proces en vermeldt dit slechts terloops in de artikelen 30 en 36.
De clausules in artikel 26 (AVG) over gezamenlijk verantwoordelijkheidsgevoel zijn erg kort, maar hebben voor veel discussie en onzekerheid gezorgd bij organisaties.
Het concept van gezamenlijk verantwoordelijkheidsgevoel is niet bijzonder nieuw, maar de toepassing ervan na de AVG in het moderne ecosysteem voor gegevensverwerking is complex. Door te verduidelijken hoe partijen als gezamenlijke verwerkingsverantwoordelijken worden beschouwd, worden hun respectievelijke nalevingsverantwoordelijkheden en gedeelde aansprakelijkheid ten aanzien van individuen gedefinieerd gegevensbescherming autoriteiten.
Een entiteit/organisatie kan een gegevensbeheerder zijn, of a data Processor, of allebei. Dezelfde organisatie kan zowel gegevensbeheerder als gegevensverwerker zijn. Als onze analyseprovider bijvoorbeeld de gegevens van een klant via zijn systemen verwerkt, is de provider de verwerker van die gegevens.
De analyseprovider kan echter over een willekeurig aantal andere datasets beschikken, die hij mogelijk gebruikt in zijn analysetools. Als de analyseprovider het recht heeft om te bepalen hoe die aanvullende gegevens worden gebruikt, is hij de beheerder van die gegevens.
Uw AVG-verplichtingen zijn afhankelijk van of u verwerkingsverantwoordelijke, verwerker of gezamenlijke verwerkingsverantwoordelijke bent. Daarom is het van cruciaal belang dat u zorgvuldig nadenkt over uw rol en verantwoordelijkheden met betrekking tot uw gegevensverwerkingsactiviteiten om te bepalen of u een verwerkingsverantwoordelijke, een verwerker of gezamenlijke verwerkingsverantwoordelijken bent.
Zelfs als u niet direct betrokken bent bij het verzamelen van gegevens, bent u mogelijk nog steeds aansprakelijk voor het niet naleven van de AVG. Daarom bent u ervoor verantwoordelijk dat u verzekerd bent naleving van de verordening aantonen beginselen voor gegevensbescherming.
ISMS.online bespaart u tijd en geld bij het behalen van de ISO 27001-certificering en maakt het eenvoudig te onderhouden.
Informatiebeveiligingsmanager, Honeysuckle Health
De Algemene Verordening Gegevensbescherming maakt in Groot-Brittannië onderscheid tussen een ‘gegevensbeheerder’ en een ‘gegevensverwerker’.
Dit helpt om vast te stellen dat niet alle organisaties betrokken zijn bij de verwerking van persoonlijke gegevens dezelfde mate van verantwoordelijkheid hebben. De Britse AVG definieert deze termen als:
De persoon of organisatie die bepaalt ‘waarom’ en ‘hoe’ persoonsgegevens moeten worden verwerkt, staat bekend als de verwerkingsverantwoordelijke.
Stel dat een bedrijf persoonsgegevens verwerkt om een specifiek individu (zoals een werknemer) te helpen zijn taken uit te voeren. In dat geval treedt die medewerker op als gegevensverwerker.
Een 'gegevensverwerker' is elk bedrijf of individu dat namens een ander persoonsgegevens verwerkt. Samengevat zijn zij een agent voor de gegevensbeheerder.
De zes kernprincipes van het algemene het gegevensbeschermingsregime is vastgelegd in artikel 5 van de Britse AVG overzicht:
Het eerste beginsel van privacy is redelijk vanzelfsprekend. Een organisatie moet ervoor zorgen dat haar praktijken voor het verzamelen van gegevens legaal zijn en niets verbergen voor de betrokkenen. Om hieraan te voldoen, moet u als gegevensbeheerder de AVG en de regels voor gegevensverzameling grondig begrijpen. Bovendien moet u uw privacybeleid publiceren, waarin u precies vermeldt welke gegevens u verzamelt en waarom u deze verzamelt.
Organisaties moeten de hoeveelheid persoonlijke gegevens die zij verzamelen beperken tot wat nodig is om hun doeleinden te verwezenlijken. Ze moeten er ook voor zorgen dat de gegevens die ze verzamelen nauwkeurig en actueel zijn en niet langer worden bewaard dan nodig is om die doeleinden te bereiken. Een verwerkingsverantwoordelijke krijgt meer speelruimte als uw verwerking plaatsvindt voor archiveringsdoeleinden, openbaar belang, wetenschappelijke, historische of statistische doeleinden.
Een organisatie mag alleen persoonsgegevens verwerken die nodig zijn om haar doel te bereiken. Dit heeft twee belangrijke voordelen. Als er zich een datalek voordoet, heeft een individu slechts toegang tot een kleine hoeveelheid gegevens. Het is ook gemakkelijker om gegevens accuraat te houden.
De nauwkeurigheid van gegevens is essentieel voor de privacy van gegevens. De AVG stelt dat “elke redelijke stap” moet worden genomen om gegevens die niet nauwkeurig of volledig zijn, te corrigeren, verwijderen of vernietigen. Individuen hebben het recht om te verzoeken dat onjuiste of onvolledige gegevens binnen 30 dagen worden gecorrigeerd of bijgewerkt. In andere gevallen kan het echter onmogelijk zijn om de gegevens te corrigeren of bij te werken, en moeten de gegevens mogelijk worden verwijderd.
Alle organisaties moeten persoonlijke gegevens verwijderen wanneer deze niet langer nodig zijn. Hoe lang moet een organisatie klantgegevens bewaren? Het varieert per bedrijfstak en de redenen waarom de gegevens worden verzameld. Elke organisatie die niet zeker weet hoe lang ze persoonlijke gegevens moet bewaren, moet een juridische professional raadplegen.
De AVG vereist dat persoonsgegevens beveiligd zijn. Gegevens moeten worden beschermd tegen verlies, vernietiging of schade. Ze moeten ook worden beschermd tegen ongeoorloofde verwerking en tegen onopzettelijk verlies, met behulp van passende technische of organisatorische maatregelen. De AVG is bewust vaag over wat organisaties zouden moeten doen, omdat de beste praktijken op technologisch en organisatorisch gebied voortdurend veranderen.
Download uw gratis gids
om uw Infosec te stroomlijnen
De onderstaande checklist helpt u erachter te komen wat u moet doen als u gegevensbeheerder bent.
Uw bedrijf heeft een informatieformulier ingevuld controleren om erachter te komen waar de gegevens in uw bedrijf zich bevinden.
Uw bedrijf heeft uw wettelijke grondslagen voor het verwerken van gegevens gedocumenteerd en geïdentificeerd.
De Britse Algemene Verordening Gegevensbescherming stelt zeer hoge eisen aan toestemming. U heeft echter niet altijd toestemming nodig. In sommige gevallen verbetert het bieden van echte keuze en controle over de manier waarop u hun gegevens gebruikt uw reputatie en schept u meer vertrouwen. De AVG bouwt op verschillende gebieden voort op de toestemmingsnorm van de wet uit 1998 en bevat meer details over wat geldige toestemming is en andere wettelijke grondslagen voor het verwerken van gegevens van mensen.
U moet een wettelijke grondslag hebben voor de verwerking van de persoonsgegevens van een minderjarige. Als u afhankelijk bent van toestemming als wettelijke basis voor de verwerking van gegevens en u onlinediensten aan kinderen aanbiedt, moet u redelijke inspanningen leveren om te verifiëren dat iedereen die zelf toestemming geeft, oud genoeg is om dit te doen. Daarom moet u ervoor zorgen dat iedereen die u toestemming geeft ouder is dan 13 jaar.
Als u een onlinedienst aanbiedt voor kinderen jonger dan 13 jaar, moet u eerst toestemming krijgen van degene die de ouderlijke verantwoordelijkheid voor het kind heeft. U moet dan redelijke inspanningen leveren om te verifiëren dat de persoon die toestemming geeft voor het kind inderdaad de ouderlijke verantwoordelijkheid heeft.
Als u gegevens van welke aard dan ook moet verwerken om de belangen van een individu te beschermen, moet uw bedrijf de omstandigheden waarin dit relevant is documenteren en die individuen waar nodig informeren.
Als u zich baseert op legitieme belangen als wettige basis voor verwerking, heeft uw bedrijf aangetoond dat het de rechten en belangen van individuen in overweging heeft genomen en beschermd.
Alle organisaties of bedrijven die persoonlijke informatie verwerken, moeten een vergoeding betalen aan de ICO, tenzij ze zijn vrijgesteld.
Boek een hands-on sessie op maat op basis van uw behoeften en doelen.
Ga er voor de zekerheid altijd van uit dat alles wat u over een klant opslaat persoonlijke gegevens zijn en zorg ervoor dat u dat doet voldoen aan de wet/gegevensbescherming Handel als het gaat om het opslaan en verwerken van die gegevens. Zorg ervoor dat de persoonlijke gegevensverwerking van uw klanten veilig is, in overeenstemming met de regelgeving inzake gegevensprivacy en dat u deze onmiddellijk wist wanneer u deze niet langer nodig heeft.
Het is essentieel om het pseudonimiseren en/of versleutelen van persoonsgegevens te overwegen als het om een bepaalde categorie persoonsgegevens gaat. Om dit te doen, vervangt u identificerende informatie door “kunstmatige identificatiegegevens”. Dit zorgt ervoor dat de persoonlijke gegevens veilig blijven.
Hoewel het vijftien keer wordt vermeld in de AVG, is pseudonimisering alleen niet voldoende; het heeft zijn beperkingen, dus encryptie wordt ook genoemd in de AVG.
Encryptie versleutelt of codeert informatie door deze door iets anders te vervangen. Pseudonimisering zorgt ervoor dat iedereen die toegang heeft tot de gegevens in uw organisatie, die dataset kan bekijken, encryptie daarentegen geeft alleen “goedgekeurde” gebruikers toegang de volledige dataset.
Het is mogelijk om zowel pseudonimisering als encryptie tegelijkertijd of afzonderlijk toe te passen onder de AVG.
De Britse AVG vereist dat u een Functionaris voor gegevensbescherming (DPO). Deze DPO is verantwoordelijk voor het waarborgen van uw organisatie voldoet aan de nieuwe regelgeving. Zij zullen ook met u samenwerken aan eventuele noodzakelijke wijzigingen in uw gegevensbeheerprocedures.
Functionarissen voor gegevensbescherming helpen u bij het toezicht op uw naleving van de wetgeving inzake gegevensbescherming en geven advies over gegevensbeschermingseffectbeoordelingen (DPIA's). DPO’s fungeren tevens als aanspreekpunt voor betrokkenen en de ICO. Een DPO is iemand die al bij uw bedrijf in dienst is, of misschien iemand die nog helemaal geen band met uw bedrijf heeft.
De DPO moet onafhankelijk zijn, een expert op het gebied van gegevensbescherming, voldoende gefinancierd zijn en rapporteren aan het hoogste managementniveau. In sommige gevallen kunnen meerdere organisaties één FG aanstellen.
Een van de De fundamentele principes van de Britse AVG zijn dat u de verwerking van persoonsgegevens moet beveiligen door het gebruik van passende organisatorische maatregelen. Dit is het ‘veiligheidsprincipe’.
U moet redelijke maatregelen nemen om de vertrouwelijkheid, integriteit en beschikbaarheid van uw systemen en diensten en de persoonsgegevens die u daarin verwerkt te waarborgen.
Zoals je hierboven kunt zien, is de financiële sancties voor het overtreden van de AVG is niet goedkoop.
Er zijn verschillende stappen die u kunt ondernemen om uw bedrijf compliant te maken:
Externe of flexibele werkregelingen behoren tot de belangrijkste factoren bij het zoeken naar een baan. De meeste werkgevers hebben geen formeel beleid voor werken op afstand, ondanks het toenemende aantal bedrijven dat banen op afstand aanbiedt. Dit maakt je kwetsbaar.
Alle bedrijven/organisaties moeten een robuust beleid voor werken op afstand hebben. Het zal helpen om het operationele model van uw bedrijf te sturen.
Het is ook essentieel voor ontwikkelaars op afstand om te begrijpen hoe ze gegevens kunnen verzamelen en openen op een manier die voldoet aan de AVG.
Vind manieren om uw thuiswerkbeleid te versterken met trainingen voor medewerkers en bewustmakingssessies.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
