Hoe u naleving van AVG kunt aantonen Artikel 24

Verantwoordelijkheid van de verwerkingsverantwoordelijke

Boek een demo

collega's,werk,modern,studio.productie,managers,team,werken,nieuw,project.young,bedrijf

GDPR Artikel 24 is het eerste deel van de AVG waarin de algemene verplichtingen van de verantwoordelijke voor de verwerking worden behandeld, die in de volgende artikelen gedetailleerder worden beschreven.

De verandering in toon van passieve naleving naar het gebruik van verplichte taal is een kenmerk van de AVG-wetgeving en zet de toon voor hoe verwerkingsverantwoordelijken zich later in de wetgeving moeten gedragen.

AVG Artikel 24 Wettelijke tekst

EU AVG-versie

Verantwoordelijkheid van de verwerkingsverantwoordelijke

  1. Rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking en met de risico's van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te garanderen en te kunnen aantonen dat de verwerking wordt uitgevoerd in overeenstemming met deze verordening. Deze maatregelen worden waar nodig geëvalueerd en bijgewerkt.

  2. Indien dit evenredig is met de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen de implementatie van passend gegevensbeschermingsbeleid door de verwerkingsverantwoordelijke.

  3. Het naleven van goedgekeurde gedragscodes als bedoeld in artikel 40 of goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 kan worden gebruikt als element om de naleving van de verplichtingen van de verwerkingsverantwoordelijke aan te tonen.

Britse AVG-versie

Verantwoordelijkheid van de verwerkingsverantwoordelijke

  1. Rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking en met de risico's van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te garanderen en te kunnen aantonen dat de verwerking wordt uitgevoerd in overeenstemming met deze verordening. Deze maatregelen worden waar nodig geëvalueerd en bijgewerkt.

  2. Indien dit evenredig is met de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen de implementatie van passend gegevensbeschermingsbeleid door de verwerkingsverantwoordelijke.

  3. Het naleven van goedgekeurde gedragscodes als bedoeld in artikel 40 of goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 kan worden gebruikt als element om de naleving van de verplichtingen van de verwerkingsverantwoordelijke aan te tonen.

Technisch commentaar

'Maatregelen'

De AVG definieert eigenlijk niet wat een technische maatregel is, wat tot enige verwarring heeft geleid onder organisaties die moeite hebben om te begrijpen wat hun verplichtingen zijn. Als zodanig hebben de meeste juridische autoriteiten 'maatregel' gedefinieerd als elke actie die een organisatie kan ondernemen, waardoor ze aan de regels voldoet.

Een op risico gebaseerde aanpak hanteren

Gezien de brede reikwijdte van de term ‘maatregel’ moeten organisaties, om vast te stellen hoe naleving kan worden bereikt, een grondige risicobeoordeling ondergaan die rekening houdt met de nature, omvang en doel van zijn verwerkingsactiviteiten.

Daarnaast moeten organisaties zich voortdurend bewust zijn van het recht op individuele vrijheid, naast eventuele operationele risico’s.

Naleving aantonen

Als algemene regel geldt dat hoe riskanter de verwerking is, des te groter de hoeveelheid bewijsmateriaal is vereist. Organisaties moeten zich bezighouden met het verzamelen van fysiek en digitaal bewijsmateriaal dat bewijst dat zij een conforme, gezagsgetrouwe organisatie zijn.

Ga naar onderwerp

ISO 27701 Clausule 5.2.1 (Inzicht in de organisatie en haar context) en EU AVG Artikel 24 (3)

Voordat organisaties proberen privacybescherming aan te pakken en een PII te implementeren, moeten ze eerst inzicht krijgen in hun verplichtingen als enige of gezamenlijke PII-beheerder en/of verwerker.

Dit bevat:

  • het beoordelen van geldende privacywetten, -regelgeving of ‘rechterlijke beslissingen’;

  • rekening houdend met de unieke reeks vereisten van de organisatie met betrekking tot het soort producten en diensten dat zij verkopen, en bedrijfsspecifieke bestuursdocumenten, beleidslijnen en procedures;

  • administratieve factoren;

  • overeenkomsten met derden of servicecontracten.

ISO 27701 Clausule 6.15.1.3 (Bescherming van gegevens) en EU AVG Artikel 24 (2)

Recordbeheer omvat vier belangrijke gebieden:

  1. Authenticiteit;
  2. Betrouwbaarheid;
  3. Integriteit;
  4. Bruikbaarheid.

Organisaties moeten:

  • richtlijnen publiceren die betrekking hebben op:

    • opslag;

    • afhandeling (keten van bewaring);

    • beschikbaarheid;

    • manipulatie voorkomen.

  • schets hoe lang elk recordtype moet worden bewaard;

  • alle wetten naleven die te maken hebben met het bijhouden van gegevens;

  • voldoen aan de verwachtingen van klanten over de manier waarop organisaties met hun administratie moeten omgaan;

  • documenten vernietigen zodra ze niet langer nodig zijn;

  • records classificeren op basis van hun beveiligingsrisico, bijvoorbeeld:

    • boekhouding;

    • zakelijke transacties;

    • personeelsdossiers;

    • legaal.

  • ervoor te zorgen dat zij binnen een aanvaardbare termijn gegevens kunnen opvragen, als daarom wordt gevraagd door een derde partij of wetshandhavingsinstantie;

  • Houd u altijd aan de richtlijnen van de fabrikant bij het opslaan of hanteren van gegevens op elektronische mediabronnen.

ISO 27701 Clausule 6.2.1.1 (Beleid voor informatiebeveiliging) en EU AVG Artikel 24 (2)

ISO pleit voor een tweeledige aanpak van de privacybescherming van organisaties, die het volgende omvat:

  • een algemeen privacybeleid;

  • onderwerpspecifiek privacybeleid voor privacybescherming.

Beide typen beleid kunnen in één document worden gecombineerd of naar eigen goeddunken van elkaar worden gescheiden.

Het beleid moet worden verspreid onder alle relevante personeelsleden (en indien nodig extern personeel) om voortdurende naleving van de interne en externe vereisten voor privacybescherming te garanderen.

Iedereen die een polis ontvangt, moet worden gevraagd om, bij voorkeur schriftelijk, te bevestigen dat hij begrijpt wat er van hem wordt gevraagd en bereid is hieraan te voldoen.

Het beleid moet worden herzien wanneer er wijzigingen worden aangebracht in:

  • Bedrijfsstrategie;

  • operationele praktijken/technische omgevingen;

  • alle wetten (inclusief AVG), wettelijke bepalingen of algemene PII-gerelateerde richtlijnen waaraan de organisatie zich moet houden;

  • risiconiveaus voor privacybescherming en het heersende/geprojecteerde dreigingslandschap.

Algemeen beleid

Het senior management moet een privacybeleid op het hoogste niveau opstellen (samen met ander onderwerpspecifiek beleid) dat duidelijk de processen en praktische stappen schetst die zullen worden genomen om PII te beschermen.

Het privacybeleid van de organisatie moet informatie bevatten over en relevant blijven voor:

  1. de algemene bedrijfsstrategie;

  2. eventuele geldende regelgevende, wettelijke of contractuele vereisten;

  3. eventuele duidelijke en aanwezige risico's op het gebied van de privacybescherming.

Het privacybeschermingsbeleid moet het volgende van de organisatie definiëren:

  • operationele definitie van privacybescherming;

  • gestelde doelen op het gebied van privacybescherming;

  • een bredere reeks bestuursbeginselen met betrekking tot de bescherming van PII;

  • inzet om hun PII-gerelateerde doelstellingen te verwezenlijken en deze voortdurend te verbeteren;

  • aanpak voor het delegeren van de verantwoordelijkheid voor het gehele of een deel van het privacybeschermingsbeleid naar de relevante roltypes;

  • aanpak voor het omgaan met uitzonderingen op het beleid;

  • plannen voor het senior management om de wijzigingen te beoordelen en goed te keuren.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Wij zijn kosteneffectief en snel

Ontdek hoe dat uw ROI zal verhogen
Vraag uw offerte aan

ISO 27701 Clausule 7.2.8 (Records met betrekking tot de verwerking van PII) en EU AVG Artikel 24 (1)

Records (ook wel 'inventarislijsten' genoemd) moeten een gedelegeerde eigenaar hebben en kunnen het volgende omvatten:

  1. operationeel – het specifieke type PII-verwerking dat wordt uitgevoerd;

  2. rechtvaardigingen – waarom de PII wordt verwerkt;

  3. categorisch – lijsten met PII-ontvangers, inclusief internationale organisaties;

  4. beveiliging – een overzicht van hoe PII wordt beschermd;

  5. privacy – dat wil zeggen een rapport over de impact op de privacy.

Index van gekoppelde EU AVG-artikelen en ISO 27701-clausules

AVG-artikelISO 27701-clausuleISO 27701 Ondersteunende clausules
EU AVG Artikel 24 (3)ISO 27701 5.2.1Geen
EU AVG Artikel 24 (2)ISO 27701 6.15.1.3Geen
EU AVG Artikel 24 (2)ISO 27701 6.2.1.1Geen
EU AVG Artikel 24 (1)ISO 27701 7.2.8Geen

Hoe ISMS.online helpt

ISMS.online biedt u een complete AVG-oplossing.

Wij bieden een vooraf gebouwde omgeving waarin u uw aanpak voor het beschermen van uw Europese en Britse klantgegevens kunt beschrijven en demonstreren, die naadloos in uw beheersysteem past.

Het ISMS.online-platform heeft ingebouwde begeleiding bij elke stap, gecombineerd met onze 'Adopt, Adapt, Add'-implementatieaanpak, zodat de inspanning die nodig is om uw aanpak van de AVG aan te tonen aanzienlijk wordt verminderd.

Heb je 30 minuten? Ontdek meer door een demo boeken.

Zie ISMS.online
in actie

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Eenvoudig. Zeker. Duurzaam.

Zie ons platform in actie met een praktijkgerichte sessie op maat, gebaseerd op uw behoeften en doelen.

Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie