Hoe u naleving van AVG kunt aantonen Artikel 37

Aanwijzing van de functionaris voor gegevensbescherming

Boek een demo

groep,gelukkige,collega's,bespreken,in,conferentie,kamer

Data Protection Officers zijn een fundamenteel onderdeel van de bredere cyberbeveiligingsoperatie van elke organisatie.

GDPR Artikel 37 benadrukt het belang van de rol en biedt richtlijnen over hoe een DPO moet worden benoemd, wat de kernactiviteiten van de rol zijn en hoe dergelijke benoemingen worden gecommuniceerd.

AVG Artikel 37 Wettelijke tekst

EU AVG-versie

Aanwijzing van de functionaris voor gegevensbescherming

  1. De verwerkingsverantwoordelijke en de verwerker wijzen in ieder geval een functionaris voor gegevensbescherming aan:

    • a) de verwerking wordt uitgevoerd door een overheidsinstantie of -orgaan, met uitzondering van rechtbanken die in hun rechterlijke hoedanigheid optreden;

    • (b) de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan ​​uit verwerkingen die vanwege hun aard, omvang en/of doeleinden een regelmatige en systematische monitoring van de betrokkenen op grote schaal vereisen; of

    • c) de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan ​​uit de verwerking op grote schaal van bijzondere categorieën gegevens overeenkomstig artikel 9 en persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten bedoeld in artikel 10.

  2. Een combinatie van ondernemingen kan één functionaris voor gegevensbescherming aanstellen, op voorwaarde dat een functionaris voor gegevensbescherming vanuit elke vestiging gemakkelijk bereikbaar is.

  3. Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of -orgaan is, kan voor meerdere van dergelijke autoriteiten of instanties één functionaris voor gegevensbescherming worden aangewezen, rekening houdend met hun organisatiestructuur en omvang.

  4. In andere gevallen dan die bedoeld in lid 1 kunnen de voor de verwerking verantwoordelijke of de verwerker of verenigingen en andere instanties die categorieën van voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen of, indien vereist door de wetgeving van de Unie of de lidstaten, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere instanties die verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.

  5. De functionaris voor gegevensbescherming wordt aangewezen op basis van professionele kwaliteiten en, in het bijzonder, deskundige kennis van de wetgeving en praktijken op het gebied van gegevensbescherming en het vermogen om de in artikel 39 bedoelde taken te vervullen.

  6. De functionaris voor gegevensbescherming kan een medewerker van de verwerkingsverantwoordelijke of verwerker zijn, of de taken vervullen op basis van een dienstverleningsovereenkomst.

  7. De verwerkingsverantwoordelijke of de verwerker publiceert de contactgegevens van de functionaris voor gegevensbescherming en deelt deze mee aan de toezichthoudende autoriteit.

Britse AVG-versie

Aanwijzing van de functionaris voor gegevensbescherming

  1. De verwerkingsverantwoordelijke en de verwerker wijzen in ieder geval een functionaris voor gegevensbescherming aan:

    • a) de verwerking wordt uitgevoerd door een overheidsinstantie of -orgaan, met uitzondering van rechtbanken die in hun rechterlijke hoedanigheid optreden;

    • (b) de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan ​​uit verwerkingen die vanwege hun aard, omvang en/of doeleinden een regelmatige en systematische monitoring van de betrokkenen op grote schaal vereisen; of

    • c) de kernactiviteiten van de verwerkingsverantwoordelijke of de verwerker bestaan ​​uit de verwerking op grote schaal van bijzondere categorieën gegevens overeenkomstig artikel 9 en persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten bedoeld in artikel 10.

  2. Een combinatie van ondernemingen kan één functionaris voor gegevensbescherming aanstellen, op voorwaarde dat een functionaris voor gegevensbescherming vanuit elke vestiging gemakkelijk bereikbaar is.

  3. Wanneer de verwerkingsverantwoordelijke of de verwerker een overheidsinstantie of -orgaan is, kan voor meerdere van dergelijke autoriteiten of instanties één functionaris voor gegevensbescherming worden aangewezen, rekening houdend met hun organisatiestructuur en omvang.

  4. In andere gevallen dan die bedoeld in lid 1 kunnen de voor de verwerking verantwoordelijke of de verwerker of verenigingen en andere instanties die categorieën van voor de verwerking verantwoordelijken of verwerkers vertegenwoordigen, een functionaris voor gegevensbescherming aanwijzen. De functionaris voor gegevensbescherming kan optreden voor dergelijke verenigingen en andere instanties die verwerkingsverantwoordelijken of verwerkers vertegenwoordigen.

  5. De functionaris voor gegevensbescherming wordt aangewezen op basis van professionele kwaliteiten en, in het bijzonder, deskundige kennis van de wetgeving en praktijken op het gebied van gegevensbescherming en het vermogen om de in artikel 39 bedoelde taken te vervullen.

  6. De functionaris voor gegevensbescherming kan een medewerker van de verwerkingsverantwoordelijke of verwerker zijn, of de taken vervullen op basis van een dienstverleningsovereenkomst.

  7. De verwerkingsverantwoordelijke of de verwerker publiceert de contactgegevens van de functionaris voor gegevensbescherming en deelt deze mee aan de commissaris.
Ga naar onderwerp

Wij zijn kosteneffectief en snel

Ontdek hoe dat uw ROI zal verhogen
Vraag uw offerte aan

Technisch commentaar

Artikel 37 van de AVG schetst zeven belangrijke gebieden waarmee organisaties rekening moeten houden bij het benoemen en beheren van de activiteiten van een Functionaris voor Gegevensbescherming :

  1. De onderliggende verplichting om een ​​Functionaris Gegevensbescherming aan te stellen.

  2. Het recht om een ​​FG aan te stellen voor grote groepsondernemingen.

  3. De mogelijkheid voor groepen organisaties om één enkele DPO aan te stellen die tegemoetkomt aan hun gedeelde verplichtingen en organisatiestructuur.

  4. Bijzondere omstandigheden die zich lenen voor de aanstelling van een DPO (een intermediair tussen organisaties en bestuursorganen).

  5. De expertise van de DPO, inclusief eventuele relevante juridische en operationele ervaring.

  6. Het contracteren van DPO-taken, in plaats van er één intern aan te stellen.

  7. Het beschikbaar stellen van de contactgegevens van een DPO aan iedereen die deze nodig heeft en die deze wettelijk mag verkrijgen.

ISO 27701 Clausule 6.3.1.1 (Informatiebeveiligingsrollen en verantwoordelijkheden) en EU AVG Artikel 37

In deze sectie praten we over AVG Artikelen 37 (1)(a), 37 (1)(b), 37 (1)(c), 37 (2), 37 (3), 37 (4), 37 (5 ), 37 (6), 37(7)

Organisaties moeten rollen en verantwoordelijkheden definiëren die specifiek zijn voor individuele functies binnen hun privacybeleid – zowel hun algemene beleid als hun onderwerpspecifieke beleid.

Individuen met specifieke verantwoordelijkheden moeten voldoende bekwaam zijn om privacygerelateerde taken uit te voeren, en moeten voortdurende ondersteuning krijgen die een aanvaardbaar competentieniveau handhaaft.

Tot de verantwoordelijkheidsgebieden behoren onder meer:

  • De bescherming van PII en alle privacygerelateerde activa.

  • Uitvoeren van privacybeschermingsprocedures.

  • PII-gerelateerde risicobeheeractiviteiten, inclusief herstelmaatregelen.

  • Iedereen die gebruik maakt van de informatie en gegevens van de organisatie, inclusief het gebruik van ICT-middelen.

  • Individuen met de hoogste verantwoordelijkheid voor de bescherming van de privacy die taken aan anderen delegeren.

ISO erkent dat elke organisatie uniek is in de manier waarop zij informatie verwerkt. De bovenstaande verantwoordelijkheidsgebieden moeten vergezeld gaan van locatie- en faciliteitspecifieke richtlijnen die rekening houden met factoren uit de praktijk die van invloed zijn op de PII-verwerking van een organisatie.

Alle bovengenoemde verantwoordelijkheden en veiligheidsgebieden moeten duidelijk worden gedocumenteerd en beschikbaar worden gesteld aan alle relevante personeelsleden.

Organisaties moeten een persoon benoemen die klanten (en externe autoriteiten) kunnen gebruiken als speciaal aanspreekpunt voor alle PII-gerelateerde zaken (zie ISO 27701 paragraaf 7.3.2).

Bovendien moeten organisaties de verantwoordelijkheid delegeren aan een of meer individuen voor het opzetten van een organisatorisch programma voor privacybeheer dat de naleving van lokale en nationale wet- en regelgeving op het gebied van PII bevordert.

Ondersteunende ISO 27701-clausules

  • ISO 27701 7.3.2

Index van gekoppelde EU AVG-artikelen en ISO 27701-clausules

AVG-artikelISO 27701-clausuleISO 27701 Ondersteunende clausules
EU AVG Artikelen 37 (1)(a) tot 37 (7)ISO 27701 6.3.1.1ISO 27701 7.3.2

Hoe ISMS.online helpt

Uw complete AVG-oplossing.

Onze kant-en-klare omgeving past naadloos in uw beheersysteem en stelt u in staat uw aanpak voor het beschermen van uw Europese en Britse klantgegevens te beschrijven en te demonstreren.

Met ISMS.online kunt u eenvoudig een niveau van privacybescherming aantonen dat verder gaat dan 'redelijk', en dat alles op één veilige, altijd beschikbare locatie.

Meer informatie via een demo boeken.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie