GDPR Artikel 24 is het eerste deel van de AVG waarin de algemene verplichtingen van de verantwoordelijke voor de verwerking worden behandeld, die in de volgende artikelen gedetailleerder worden beschreven.
De verandering in toon van passieve naleving naar het gebruik van verplichte taal is een kenmerk van de AVG-wetgeving en zet de toon voor hoe verwerkingsverantwoordelijken zich later in de wetgeving moeten gedragen.
Verantwoordelijkheid van de verwerkingsverantwoordelijke
- Rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking en met de risico's van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te garanderen en te kunnen aantonen dat de verwerking wordt uitgevoerd in overeenstemming met deze verordening. Deze maatregelen worden waar nodig geëvalueerd en bijgewerkt.
- Indien dit evenredig is met de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen de implementatie van passend gegevensbeschermingsbeleid door de verwerkingsverantwoordelijke.
- Het naleven van goedgekeurde gedragscodes als bedoeld in artikel 40 of goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 kan worden gebruikt als element om de naleving van de verplichtingen van de verwerkingsverantwoordelijke aan te tonen.
Verantwoordelijkheid van de verwerkingsverantwoordelijke
- Rekening houdend met de aard, de omvang, de context en de doeleinden van de verwerking en met de risico's van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te garanderen en te kunnen aantonen dat de verwerking wordt uitgevoerd in overeenstemming met deze verordening. Deze maatregelen worden waar nodig geëvalueerd en bijgewerkt.
- Indien dit evenredig is met de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen de implementatie van passend gegevensbeschermingsbeleid door de verwerkingsverantwoordelijke.
- Het naleven van goedgekeurde gedragscodes als bedoeld in artikel 40 of goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 kan worden gebruikt als element om de naleving van de verplichtingen van de verwerkingsverantwoordelijke aan te tonen.
De AVG definieert eigenlijk niet wat een technische maatregel is, wat tot enige verwarring heeft geleid onder organisaties die moeite hebben om te begrijpen wat hun verplichtingen zijn. Als zodanig hebben de meeste juridische autoriteiten 'maatregel' gedefinieerd als elke actie die een organisatie kan ondernemen, waardoor ze aan de regels voldoet.
Gezien de brede reikwijdte van de term ‘maatregel’ moeten organisaties, om vast te stellen hoe naleving kan worden bereikt, een grondige risicobeoordeling ondergaan die rekening houdt met de nature, omvang en doel van zijn verwerkingsactiviteiten.
Daarnaast moeten organisaties zich voortdurend bewust zijn van het recht op individuele vrijheid, naast eventuele operationele risico’s.
Als algemene regel geldt dat hoe riskanter de verwerking is, des te groter de hoeveelheid bewijsmateriaal is vereist. Organisaties moeten zich bezighouden met het verzamelen van fysiek en digitaal bewijsmateriaal dat bewijst dat zij een conforme, gezagsgetrouwe organisatie zijn.
Boek een chat van 30 minuten met ons en wij laten u zien hoe
Voordat organisaties proberen privacybescherming aan te pakken en een PII te implementeren, moeten ze eerst inzicht krijgen in hun verplichtingen als enige of gezamenlijke PII-beheerder en/of verwerker.
Dit bevat:
Recordbeheer omvat vier belangrijke gebieden:
Organisaties moeten:
ISO pleit voor een tweeledige aanpak van de privacybescherming van organisaties, die het volgende omvat:
Beide typen beleid kunnen in één document worden gecombineerd of naar eigen goeddunken van elkaar worden gescheiden.
Het beleid moet worden verspreid onder alle relevante personeelsleden (en indien nodig extern personeel) om voortdurende naleving van de interne en externe vereisten voor privacybescherming te garanderen.
Iedereen die een polis ontvangt, moet worden gevraagd om, bij voorkeur schriftelijk, te bevestigen dat hij begrijpt wat er van hem wordt gevraagd en bereid is hieraan te voldoen.
Het beleid moet worden herzien wanneer er wijzigingen worden aangebracht in:
Het senior management moet een privacybeleid op het hoogste niveau opstellen (samen met ander onderwerpspecifiek beleid) dat duidelijk de processen en praktische stappen schetst die zullen worden genomen om PII te beschermen.
Het privacybeleid van de organisatie moet informatie bevatten over en relevant blijven voor:
Het privacybeschermingsbeleid moet het volgende van de organisatie definiëren:
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Records (ook wel 'inventarislijsten' genoemd) moeten een gedelegeerde eigenaar hebben en kunnen het volgende omvatten:
AVG-artikel | ISO 27701-clausule | ISO 27701 Ondersteunende clausules |
---|---|---|
EU AVG Artikel 24 (3) | ISO 27701 5.2.1 | Geen |
EU AVG Artikel 24 (2) | ISO 27701 6.15.1.3 | Geen |
EU AVG Artikel 24 (2) | ISO 27701 6.2.1.1 | Geen |
EU AVG Artikel 24 (1) | ISO 27701 7.2.8 | Geen |
ISMS.online biedt u een complete AVG-oplossing.
Wij bieden een vooraf gebouwde omgeving waarin u uw aanpak voor het beschermen van uw Europese en Britse klantgegevens kunt beschrijven en demonstreren, die naadloos in uw beheersysteem past.
Het ISMS.online-platform heeft ingebouwde begeleiding bij elke stap, gecombineerd met onze 'Adopt, Adapt, Add'-implementatieaanpak, zodat de inspanning die nodig is om uw aanpak van de AVG aan te tonen aanzienlijk wordt verminderd.
Heb je 30 minuten? Ontdek meer door een demo boeken.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo