Hoe u naleving van AVG kunt aantonen Artikel 38

Technisch commentaar

Artikel 38 van de AVG behandelt drie belangrijke werkgebieden die betrekking hebben op de reikwijdte van de taken van een functionaris voor gegevensbescherming binnen de organisatie:

1. Het specifieke rol van de DPO binnen de organisatie, en hoe deze betrokken zijn bij de bescherming van de gegevens van een individu.
2. Het belang van handhaven onpartijdigheid en vertrouwelijkheid bij het uitvoeren van hun taken, zonder onnodig toezicht of inmenging door het management van de organisatie.
3. De noodzaak om iets te vermijden belangenconflicten, als de DPO een andere rol vervult binnen de organisatie, al dan niet verbonden met zijn verplichtingen als DPO.

ISO 27701 Clausule 6.3.1.1 (Informatiebeveiligingsrollen en verantwoordelijkheden) en EU AVG Artikel 38

In deze sectie praten we over AVG-artikelen 38 (1), 38 (2), 38 (3), 38 (4), 38 (5), 38 (6)

Organisaties moeten rollen en verantwoordelijkheden definiëren die specifiek zijn voor individuele functies binnen hun privacybeleid – zowel hun algemene beleid als hun onderwerpspecifieke beleid.

Individuen met specifieke verantwoordelijkheden moeten voldoende bekwaam zijn om privacygerelateerde taken uit te voeren, en moeten voortdurende ondersteuning krijgen die een aanvaardbaar competentieniveau handhaaft.

Tot de verantwoordelijkheidsgebieden behoren onder meer:

• De bescherming van PII en alle privacygerelateerde activa.
• Uitvoeren van privacybeschermingsprocedures.
• PII-gerelateerde risicobeheeractiviteiten, inclusief herstelmaatregelen.
• Iedereen die gebruik maakt van de informatie en gegevens van de organisatie, inclusief het gebruik van ICT-middelen.
• Individuen met de hoogste verantwoordelijkheid voor de bescherming van de privacy die taken aan anderen delegeren.

ISO erkent dat elke organisatie uniek is in de manier waarop zij informatie verwerkt. De bovenstaande verantwoordelijkheidsgebieden moeten vergezeld gaan van locatie- en faciliteitspecifieke richtlijnen die rekening houden met factoren uit de praktijk die van invloed zijn op de PII-verwerking van een organisatie.

Alle bovengenoemde verantwoordelijkheden en veiligheidsgebieden moeten duidelijk worden gedocumenteerd en beschikbaar worden gesteld aan alle relevante personeelsleden.

Organisaties moeten een persoon benoemen die klanten (en externe autoriteiten) kunnen gebruiken als speciaal aanspreekpunt voor alle PII-gerelateerde zaken (zie ISO 27701 paragraaf 7.3.2).

Bovendien moeten organisaties de verantwoordelijkheid delegeren aan een of meer individuen voor het opzetten van een organisatorisch programma voor privacybeheer dat de naleving van lokale en nationale wet- en regelgeving op het gebied van PII bevordert.

Ondersteunende ISO 27701-clausules

• ISO 27701 7.3.2

ISO 27701 Clausule 6.10.2.4 (Vertrouwelijkheids- of geheimhoudingsovereenkomsten) en EU AVG Artikel 38 (5)

Bij het opstellen, implementeren en onderhouden van NDA's moeten organisaties:

• Geef een definitie voor de informatie die moet worden beschermd.
• Geef duidelijk aan wat de verwachte duur van de overeenkomst is.
• Geef duidelijk aan welke acties nodig zijn zodra een overeenkomst is beëindigd.
• Alle verantwoordelijkheden die zijn overeengekomen door bevestigde ondertekenaars.
• Eigendom van informatie (inclusief IP en bedrijfsgeheimen).
• Hoe ondertekenaars de informatie mogen gebruiken.
• Geef een duidelijke omschrijving van het recht van de organisatie om vertrouwelijke informatie te controleren.
• Eventuele gevolgen die voortvloeien uit niet-naleving.
• Evalueert regelmatig hun vertrouwelijkheidsbehoeften en past eventuele toekomstige overeenkomsten dienovereenkomstig aan.

Vertrouwelijkheidswetten variëren van rechtsgebied tot rechtsgebied, en organisaties moeten rekening houden met hun eigen wettelijke en regelgevende verplichtingen bij het opstellen van geheimhoudingsverklaringen en vertrouwelijkheidsovereenkomsten (zie ISO 27002 controles 5.31, 5.32, 5.33 en 5.34).

Ondersteuning van ISO 27002-controles

• ISO 27002 5.31
• ISO 27002 5.32
• ISO 27002 5.33
• ISO 27002 5.34

Index van gekoppelde EU AVG-artikelen en ISO 27701-clausules

Hoe ISMS.online helpt

AVG-naleving met ISMS.online

Onze 'Adopt, Adapt, Add'-implementatieaanpak op het ISMS.online-platform maakt het eenvoudig om uw AVG-compliance-aanpak te demonstreren. Bovendien profiteert u van krachtige tijdbesparende functies.

In het geval dat het ergste gebeurt, bent u voorbereid. Door elk incident te documenteren en ervan te leren, maken we het u gemakkelijk om uw inbreukworkflow te plannen en te communiceren.

Meer informatie via een demo boeken.