Hoe u naleving van AVG kunt aantonen Artikel 13

Britse AVG-versie

Artikel 13: Informatie die moet worden verstrekt wanneer persoonsgegevens van de betrokkene worden verzameld

1. Wanneer persoonsgegevens met betrekking tot een betrokkene bij de betrokkene worden verzameld, zal de verwerkingsverantwoordelijke, op het moment dat persoonsgegevens worden verkregen, de betrokkene alle volgende informatie verstrekken:
• De identiteit en de contactgegevens van de verwerkingsverantwoordelijke en, indien van toepassing, van de vertegenwoordiger van de verwerkingsverantwoordelijke;
• De contactgegevens van de functionaris voor gegevensbescherming, indien van toepassing;
• De doeleinden van de verwerking waarvoor de persoonsgegevens bestemd zijn, alsmede de wettelijke grondslag voor de verwerking;
• Wanneer de verwerking is gebaseerd op artikel 6, lid 1, onder f), de legitieme belangen die worden nagestreefd door de verwerkingsverantwoordelijke of door een derde partij;
• De eventuele ontvangers of categorieën van ontvangers van de persoonsgegevens;
• Indien van toepassing, het feit dat de verwerkingsverantwoordelijke voornemens is persoonsgegevens door te geven aan een derde land of een internationale organisatie en het bestaan ​​of ontbreken van relevante adequaatheidsregels op grond van artikel 17A van de Wet van 2018, of in het geval van doorgiften bedoeld in artikel 46 of 47 , of artikel 49, lid 1, tweede alinea, met verwijzing naar de passende of passende waarborgen en de middelen waarmee een kopie ervan kan worden verkregen of waar deze beschikbaar zijn gesteld.
2. Naast de in lid 1 bedoelde informatie verstrekt de verwerkingsverantwoordelijke, op het moment dat persoonsgegevens worden verkregen, de betrokkene de volgende aanvullende informatie die nodig is om een ​​eerlijke en transparante verwerking te garanderen:
• De periode gedurende welke de persoonsgegevens worden bewaard, of indien dat niet mogelijk is, de criteria die worden gebruikt om die periode te bepalen;
• Het bestaan ​​van het recht om van de verwerkingsverantwoordelijke toegang tot en rectificatie of verwijdering van persoonsgegevens of beperking van de verwerking met betrekking tot de betrokkene te vragen of om bezwaar te maken tegen verwerking, evenals het recht op gegevensportabiliteit;
• Wanneer de verwerking is gebaseerd op artikel 6, lid 1, punt a), of artikel 9, lid 2, punt a), moet het bestaan ​​van het recht om de toestemming op elk moment in te trekken, zonder dat de rechtmatigheid van de verwerking op basis van toestemming vóór de intrekking ervan;
• Het recht om een ​​klacht in te dienen bij de Commissaris;
• Of het verstrekken van persoonsgegevens een wettelijke of contractuele verplichting is, of een vereiste dat noodzakelijk is om een ​​contract aan te gaan, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn als deze gegevens niet worden verstrekt;
• Het bestaan ​​van geautomatiseerde besluitvorming, inclusief profilering, bedoeld in artikel 22, leden 1 en 4, en, althans in die gevallen, zinvolle informatie over de betrokken logica, evenals de betekenis en de beoogde gevolgen van een dergelijke verwerking voor de betrokkene.
3. Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene voorafgaand aan die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld naar lid 2.
4. De leden 1, 2 en 3 zijn niet van toepassing indien en voor zover de betrokkene reeds over de informatie beschikt.

Technisch commentaar

Organisaties moeten de volgende informatie beschikbaar stellen op het verzamelpunt, indien van toepassing (bijvoorbeeld bij internationale overdrachten):

1. De identiteit van hun functionaris voor gegevensbescherming.
2. Contactgegevens van hun functionaris voor gegevensbescherming.
3. Het doel en de wettelijke basis voor het verzamelen van de gegevens.
4. Eventuele legitieme belangen.
5. De identiteit van de ontvangers.
6. Internationale overdracht van gegevens, inclusief landgegevens en waarborgen.

Verplichtingen om informatie te verstrekken wanneer persoonlijke gegevens worden verkregen

In overeenstemming met de richtlijnen in artikel 13 moeten organisaties ook de volgende informatie verstrekken:

• Details van de bewaartermijn van gegevens.
• De specifieke kenmerken van de rechten van de betrokkene, onder de wetgeving inzake gegevensbescherming.
• Informatie over hoe u uw toestemming kunt intrekken.
• Hoe u een klacht indient.
• De bron van de gegevens die zijn verkregen.
• Eventuele contractuele of wettelijke vereisten.
• Details van geautomatiseerde besluitvormingsprocessen.

EU AVG Artikelen 13 (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (1)(f), (2)( c), (2)(d), (2)(e), (3), (4) en ISO 27701 paragraaf 7.3.2

Informatie vaststellen voor PII-opdrachtgevers

Organisaties moeten een gedetailleerde reeks vereisten schetsen die bepalen hoe en wanneer informatie aan PII-opdrachtgevers moet worden verstrekt.

Voorbeelden hiervan zijn:

• Het onderliggende doel van de gegevens die worden verzameld en verwerkt.
• Contact details.
• Hoe en waar de PII is verkregen.
• Contractuele en/of wettelijke vereisten.
• Hoe toestemming kan worden ingetrokken.
• PII-overdrachten.
• Hoe u een klacht kunt indienen.
• Hoe de organisatie beslissingen neemt over de verwerking van PII.
• Bewaartermijnen voor informatie.

EU AVG Artikel 13 (3) en ISO 27701 Clausule 7.3.3

Informatie verstrekken aan PII-opdrachtgevers

Alle informatie moet foutloos worden verstrekt en in een taal die gemakkelijk te begrijpen is (bijvoorbeeld zonder jargon, niet al te technisch) door de mensen die de mogelijkheid hebben om de informatie te lezen (zie ISO 27702 paragraaf 7.3.2).

Ondersteunende ISO 27701-clausules

• ISO 27701 7.3.2

EU AVG artikel 13, lid 2, onder c) en ISO 27701 clausule 7.3.4

Bieden van een mechanisme om toestemming te wijzigen of in te trekken

Er moeten mechanismen worden geboden die tegemoetkomen aan de rechten van elke PII-opdrachtgever die zijn toestemming wil intrekken.

De communicatiekanalen moeten een weerspiegeling zijn van de kanalen die door de organisatie zijn gebruikt om de gegevens in eerste instantie te verzamelen, en PII-principals moeten de verwerkingsverantwoordelijke kunnen beperken in het uitvoeren van bepaalde acties.

Organisaties moeten zich verplichten tot een gepubliceerde responstijd voor alle wijzigings- of intrekkingsverzoeken, en al dergelijke verzoeken moeten grondig worden gedocumenteerd.

EU AVG artikel 13, lid 2, onder b) en ISO 27701 clausule 7.3.5

Biedt een mechanisme om bezwaar te maken tegen de verwerking van PII

Lokale en nationale wetten variëren per rechtsgebied, maar over het algemeen moeten PII-opdrachtgevers de mogelijkheid behouden om bezwaar te maken tegen de manier waarop hun gegevens zijn opgeslagen, verwerkt of overgedragen.

Organisaties moeten:

1. Documenteer alle wettelijke of regelgevende vereisten die verband houden met eventuele bezwaren van PII-opdrachtgevers.
2. Geef betrokkenen informatie over hoe zij bezwaar kunnen maken.

EU AVG artikel 13, lid 2, onder b) en ISO 27701 clausule 7.3.6

Toegang, correctie en/of verwijdering

Organisaties moeten procedures documenteren waarmee betrokkenen drie basisfuncties kunnen uitvoeren:

1. Toegang tot hun gegevens.
2. Correct hun gegevens.
3. Verwijder hun gegevens.

Organisaties moeten zich verplichten tot een gepubliceerde responstijd voor alle verzoeken om toegang, correctie of verwijdering, en indien relevant een reden opgeven waarom correcties niet kunnen worden uitgevoerd.

Als PII is overgedragen aan een derde partij, zijn organisaties verplicht om alle verzoeken aan hen door te geven en de bevestiging te bevestigen (zie ISO 27701 clausule 7.3.7).

Afhankelijk van het rechtsgebied kunnen er verschillende regionale en nationale regels van toepassing zijn. Als zodanig moeten organisaties een grondig inzicht behouden in alle wet- en regelgeving die van toepassing is op de toegang tot, correctie of verwijdering van PII.

Ondersteunende ISO 27701-clausules

• ISO 27701 7.3.7

EU AVG artikel 13, lid 2, onder f) en ISO 27701 clausule 7.3.10

Geautomatiseerde besluitvorming

Organisaties moeten voldoen aan alle wettelijke verplichtingen jegens PII-opdrachtgevers die verband houden met de geautomatiseerde verwerking van PII.

Organisaties moeten rekening houden met jurisdictieverschillen in geautomatiseerde besluitvorming met betrekking tot PII – meer specifiek, door PII-opdrachtgevers de mogelijkheid te bieden bezwaar te maken en menselijke tussenkomst te verzoeken in plaats van geautomatiseerde procedures.

EU AVG artikel 13, lid 2, onder a) en ISO 27701 clausule 7.4.7

Organisaties moeten PII die ze niet langer nodig hebben of niet langer aan een specifiek doel voldoen, verwijderen en/of verwijderen.

Organisaties moeten werken met bewaarschema's die de exacte periode beschrijven waarvoor PII wordt bewaard, inclusief naleving van eventuele wettelijke, statutaire of contractuele vereisten.

Ondersteunende controles uit ISO 27701

Hoe ISMS.online helpt

ROPA gemakkelijk gemaakt

Onze PIMS-oplossing maakt het in kaart brengen van data een eenvoudige taak. Het is gemakkelijk om alles vast te leggen en te bekijken, door de gegevens van uw organisatie toe te voegen aan onze vooraf geconfigureerde dynamische tool voor het registreren van verwerkingsactiviteiten.

Ingebouwde risicobank

Het beheersen van risico's is de sleutel tot een succesvol PIMS. Daarom hebben we een ingebouwde risicobank en een reeks andere praktische hulpmiddelen gecreëerd die u kunnen helpen bij elk onderdeel van het risicobeoordelings- en beheerproces.

Veilige ruimte voor DRR

Aan welke privacynormen of regelgeving u ook werkt, u moet laten zien hoe goed u omgaat met verzoeken om rechten van betrokkenen (Data Subject Rights Requests, DRR). Onze beveiligde DRR-ruimte bewaart alles op één plek en ondersteunt het met geautomatiseerde rapportage en inzicht.

Meer informatie via een demo boeken.