Documentatieplicht

Terug

Binnen de AVG geldt een documentatieplicht. Middels deze documentatieplicht demonstreert u dat u de beginselen voor een correcte gegevensverwerking in acht neemt, zoals die staan opgesomd in art. 5 van de AVG:

  • rechtmatigheid, behoorlijkheid en transparantie;
  • doelbinding;
  • dataminimalisatie;
  • juistheid van gegevens;
  • opslagbeperking; en
  • een passend beveiligingsniveau.

Ook dient u uw verwerking goed te registreren. Het gaat dan om:

  • details m.b.t. de persoonsgegevens die u verwerkt;
  • welke inbreuken er plaats hebben gevonden, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen;
  • welke organisatorische/juridische en technische maatregelen u getroffen heeft.

De registratie van uw verwerkingen vindt plaats in het zogeheten verwerkingsregister dat de toezichthoudende autoriteit in staat stelt de naleving te controleren (aansprakelijkheid). Dit register is daarmee een essentieel onderdeel van compliancy met de AVG.

Organisatorische en juridische documenten/activiteiten dragen bij aan de beveiliging van persoonsgegevens. Daarnaast worden deze documenten of activiteiten gebruikt om afspraken te maken over verantwoordelijkheden, gewenst gedrag en/of aansprakelijkheid. De AVG gaat ook over de rechten van betrokkenen en het voldoen aan de grondbeginselen van verwerking. Al deze zaken dienen ook transparant gecommuniceerd te worden met betrokkenen. Hieronder vindt u enkele voorbeelden.

  1. Informatiebeveiligingsbeleid
  2. Wachtwoord beleid
  3. Remote toegang beleid
  4. Acceptable Use Policy
  5. Clear Desk/Screen beleid
  6. BYOD beleid
  7. Back-up & Restore beleid (bewaar beleid)
  8. Bewaar beleid (retentie)
  9. Security Awareness training
  10. Procedure “Meldplicht Datalekken”
  11. Incident Response procedure
  12. Geheimhoudingsclausules
  13. Verwerkersovereenkomsten
  14. Arbeidsovereenkomsten
  15. Leveranciersovereenkomsten
  16. Data Privacy Statements
  17. Cookiebeleid, enz…

Technische maatregelen dragen bij aan de beveiliging van van persoonsgegevens in relatie tot drie veelgebruikte pijlers. Dit zijn Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV).

Hieronder vindt u enkele voorbeelden.

  1. Beschikbaarheid: back-up en redundante systemen
  2. Integriteit: authenticatie en autorisatie management, incident en event monitoring/logging
  3. Vertrouwelijkheid: data encryptie, bijvoorbeeld op mobiele werkplekken

Via documentatie kunt u aantonen welke maatregelen u geïmplementeerd heeft. Hiervoor kunt u gebruik maken van diagrammen, beschreven standaarden, solution design documenten, enz…