In navolging van artikel 37, dat handelt over de afspraak van een DPO, GDPR Artikel 38 schetst de omvang van hun taken, hun positie binnen de organisatie, en enkele specifieke taken en plichten.
Functie van de functionaris voor gegevensbescherming
- De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming behoorlijk en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
- De verwerkingsverantwoordelijke en de verwerker ondersteunen de functionaris voor gegevensbescherming bij het uitvoeren van de in artikel 39 bedoelde taken door de middelen ter beschikking te stellen die nodig zijn om die taken uit te voeren en toegang te krijgen tot persoonsgegevens en verwerkingsactiviteiten, en om zijn of haar deskundige kennis op peil te houden.
- De verwerkingsverantwoordelijke en verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt over de uitoefening van die taken. Hij of zij mag door de verwerkingsverantwoordelijke of de verwerker niet worden ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming rapporteert rechtstreeks aan het hoogste managementniveau van de verwerkingsverantwoordelijke of de verwerker.
- Betrokkenen kunnen contact opnemen met de functionaris voor gegevensbescherming met betrekking tot alle kwesties die verband houden met de verwerking van hun persoonsgegevens en de uitoefening van hun rechten uit hoofde van deze verordening.
- De functionaris voor gegevensbescherming is gebonden aan geheimhouding of vertrouwelijkheid met betrekking tot de uitvoering van zijn of haar taken, in overeenstemming met het recht van de Unie of de lidstaten.
- De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of verwerker zorgt ervoor dat dergelijke taken en plichten niet tot een belangenconflict leiden.
Functie van de functionaris voor gegevensbescherming
- De verwerkingsverantwoordelijke en de verwerker zorgen ervoor dat de functionaris voor gegevensbescherming behoorlijk en tijdig wordt betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.
- De verwerkingsverantwoordelijke en de verwerker ondersteunen de functionaris voor gegevensbescherming bij het uitvoeren van de in artikel 39 bedoelde taken door de middelen ter beschikking te stellen die nodig zijn om die taken uit te voeren en toegang te krijgen tot persoonsgegevens en verwerkingsactiviteiten, en om zijn of haar deskundige kennis op peil te houden.
- De verwerkingsverantwoordelijke en verwerker zorgen ervoor dat de functionaris voor gegevensbescherming geen instructies ontvangt over de uitoefening van die taken. Hij of zij mag door de verwerkingsverantwoordelijke of de verwerker niet worden ontslagen of gestraft voor de uitvoering van zijn taken. De functionaris voor gegevensbescherming rapporteert rechtstreeks aan het hoogste managementniveau van de verwerkingsverantwoordelijke of de verwerker.
- Betrokkenen kunnen contact opnemen met de functionaris voor gegevensbescherming met betrekking tot alle kwesties die verband houden met de verwerking van hun persoonsgegevens en de uitoefening van hun rechten uit hoofde van deze verordening.
- De functionaris voor gegevensbescherming is gebonden aan geheimhouding of vertrouwelijkheid met betrekking tot de uitvoering van zijn of haar taken, in overeenstemming met het nationale recht.
- De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of verwerker zorgt ervoor dat dergelijke taken en plichten niet tot een belangenconflict leiden.
Artikel 38 van de AVG behandelt drie belangrijke werkgebieden die betrekking hebben op de reikwijdte van de taken van een functionaris voor gegevensbescherming binnen de organisatie:
In deze sectie praten we over AVG-artikelen 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)
Organisaties moeten rollen en verantwoordelijkheden definiëren die specifiek zijn voor individuele functies binnen hun privacybeleid – zowel hun algemene beleid als hun onderwerpspecifieke beleid.
Individuen met specifieke verantwoordelijkheden moeten voldoende bekwaam zijn om privacygerelateerde taken uit te voeren, en moeten voortdurende ondersteuning krijgen die een aanvaardbaar competentieniveau handhaaft.
Tot de verantwoordelijkheidsgebieden behoren onder meer:
ISO erkent dat elke organisatie uniek is in de manier waarop zij informatie verwerkt. De bovenstaande verantwoordelijkheidsgebieden moeten vergezeld gaan van locatie- en faciliteitspecifieke richtlijnen die rekening houden met factoren uit de praktijk die van invloed zijn op de PII-verwerking van een organisatie.
Alle bovengenoemde verantwoordelijkheden en veiligheidsgebieden moeten duidelijk worden gedocumenteerd en beschikbaar worden gesteld aan alle relevante personeelsleden.
Organisaties moeten een persoon benoemen die klanten (en externe autoriteiten) kunnen gebruiken als speciaal aanspreekpunt voor alle PII-gerelateerde zaken (zie ISO 27701 paragraaf 7.3.2).
Bovendien moeten organisaties de verantwoordelijkheid delegeren aan een of meer individuen voor het opzetten van een organisatorisch programma voor privacybeheer dat de naleving van lokale en nationale wet- en regelgeving op het gebied van PII bevordert.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Bij het opstellen, implementeren en onderhouden van NDA's moeten organisaties:
Vertrouwelijkheidswetten variëren van rechtsgebied tot rechtsgebied, en organisaties moeten rekening houden met hun eigen wettelijke en regelgevende verplichtingen bij het opstellen van geheimhoudingsverklaringen en vertrouwelijkheidsovereenkomsten (zie ISO 27002 controles 5.31, 5.32, 5.33 en 5.34).
AVG-artikel | ISO 27701-clausule | ISO 27002-controles |
---|---|---|
EU AVG Artikelen 38 (1) tot 38 (6) | ISO 27701 6.3.1.1 ISO 27701 7.3.2 | Geen |
EU AVG Artikel 38 (5) | ISO 27701 6.10.2.4 | ISO 27002 5.31 ISO 27002 5.32 ISO 27002 5.33 ISO 27002 5.34 |
AVG-naleving met ISMS.online
Onze 'Adopt, Adapt, Add'-implementatieaanpak op het ISMS.online-platform maakt het eenvoudig om uw AVG-compliance-aanpak te demonstreren. Bovendien profiteert u van krachtige tijdbesparende functies.
In het geval dat het ergste gebeurt, bent u voorbereid. Door elk incident te documenteren en ervan te leren, maken we het u gemakkelijk om uw inbreukworkflow te plannen en te communiceren.
Meer informatie via een demo boeken.
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.
Vraag een offerte aan