Eén van de gevolgen van de AVG voor organisaties uitgelegd

In het eerste blog https://spectrumadvocaten.nl/nl/blog/25-mei-2018-uw-organisatie-al-klaar-voor-de-avg werd al vermeld dat de verantwoordingsplicht van organisaties onder de AVG inhoudt dat een organisatie moet kunnen bewijzen dat zij aan de AVG (Algemene Verordening Gegevensbescherming) voldoet. De AVG noemt een aantal verplichtingen voor organisaties, zoals:

  • Het kunnen aantonen dat toestemming is gegeven om persoonsgegevens te verwerken.
  • Een organisatie moet een register met verwerkingen en datalekken bijhouden.

Een organisatie kan ook verplicht zijn om een Data Protection Impact Assessment (DPIA) uit te voeren en om een Functionaris voor Gegevensbescherming (FG) aan te stellen.

Wat houdt de verantwoordingsplicht voor organisaties in en welke maatregelen moet een organisatie concreet nemen om hieraan te voldoen? In dit blog zal worden ingegaan op de verantwoordingsplicht van organisaties.

De verantwoordingsplicht

De verantwoordingsplicht betekent dat de verwerkingsverantwoordelijke erop moet toezien en moet kunnen aantonen dat de beginselen van de AVG worden nageleefd. Als een verwerkingsverantwoordelijke niet kan aantonen dat hij of zij heeft voldaan aan één van de beginselen van de AVG, dan wordt de AVG daarmee overtreden en kan de Autoriteit Persoonsgegevens een boete opleggen.

 “Als niet aangetoond kan worden dat er is voldaan aan de beginselen van de AVG, dan kan een boete worden opgelegd.”

Hoe voorkomt u als organisatie dat u de verantwoordingsplicht niet nakomt en een boete krijgt opgelegd?

Op grond van de verantwoordingsplicht moeten organisaties onder andere aan de volgende verplichtingen voldoen:

  • Het bijhouden van een register van verwerkingsactiviteiten.
  • Het kunnen aantonen dat, in de gevallen dat toestemming nodig is, een betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens.
  • Het hebben van een privacyverklaring.
  • Het bijhouden van een register van opgetreden datalekken.
  • Het uitvoeren van een Data Protection Impact Assessment (DPIA). 
  • Het aanstellen van een Functionaris voor Gegevensbescherming (FG) en wanneer niet duidelijk is of een FG moet worden aangesteld, het moeten kunnen onderbouwen waarom ervoor gekozen is om een FG aan te stellen of juist niet.

Daarnaast noemt de AVG een aantal extra maatregelen die organisaties kunnen nemen. Deze extra maatregelen zijn:

  • Het aansluiten bij een gedragscode.
  • Het behalen van een bepaald certificaat.
  • Het hanteren van een gericht beveiligingsbeleid op het gebied van ICT.
  • Het afleggen van verantwoording over de verwerking van de persoonsgegevens.

Hierna worden de verplichte maatregelen behandeld.

Register van verwerkingsactiviteiten

Als uw organisatie meer dan 250 medewerkers telt, dan is uw organisatie verplicht om een register van verwerkingsactiviteiten bij te houden.

Heeft uw organisatie minder dan 250 medewerkers? Dan is uw organisatie alleen verplicht een register bij te houden in de gevallen dat uw organisatie:

  • persoonsgegevens verwerkt die een risico inhoudt voor de rechten en vrijheden van betrokkenen;
  • persoonsgegevens niet incidenteel, maar structureel verwerkt;
  • bijzondere categorieën van gegevens verwerkt, zoals gegevens over politieke opvattingen, godsdienst, genetische gegevens, strafrechtelijke veroordelingen en strafbare feiten.

In het register staan alle verwerkingsactiviteiten die hebben plaatsgevonden. Ook een verwerker moet een soortgelijk register bijhouden, maar deze wijkt, voor wat betreft de inhoud, iets af van het register van de verwerkingsverantwoordelijke. In dit blog zal alleen worden ingegaan op wat er in het register van verwerkingsactiviteiten van de verwerkingsverantwoordelijke moet staan.

Het register dient onder andere de volgende informatie te bevatten:


  • De naam en contactgegevens van de (gezamenlijke) verwerkings-verantwoordelijke(n).
  • De naam en contactgegevens van de functionaris voor gegevensbescherming (FG).
  • De verwerkingsdoeleinden.
  • De categorieën van betrokkenen van wie persoonsgegevens worden verwerkt.
  • De categorieën van persoonsgegevens die worden verwerkt.
  • De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt.
  • Indien dit mogelijk is, de beoogde termijnen waarbinnen de (categorieën van) persoonsgegevens moeten worden gewist.
  • Een algemene beschrijving van de organisatorische en technische maatregelen die binnen de organisatie zijn genomen.

Aantonen van toestemming van de betrokkene

Op grond van de AVG moet uw organisatie een rechtsgrond hebben om persoonsgegevens te mogen verwerken. Een van de gronden die de AVG noemt is het hebben verkregen van toestemming van degene van wie u de persoonsgegevens gaat verwerken. De AVG vereist dat u moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van de persoonsgegevens én op grond van welke informatie dat is gebeurd. Alleen vastleggen dat de betrokkene toestemming heeft gegeven is dus niet voldoende.

 “De AVG vereist dat een verwerkingsverantwoordelijke kan aantonen dat een betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens.”

De toestemming moet gegeven worden door een duidelijke actieve handeling zoals:

  • Een schriftelijke verklaring.
  • Een mondelinge verklaring.
  • Een digitale verklaring.

Omdat u moet kunnen aantonen dat een betrokkene toestemming heeft gegeven, moet u ervoor zorgen dat u bijvoorbeeld een mondelinge toestemming schriftelijk vastlegt.

Als een betrokkene digitaal toestemming geeft, dan kunt u het proces van het verkrijgen van toestemming en op basis van welke informatie dat gebeurt, vastleggen. Denk bijvoorbeeld aan het verzamelen van informatie die de betrokkene heeft ontvangen voordat toestemming gegeven wordt, of het vastleggen van het bezoek van de betrokkene op de website.

Uit de verklaring van de betrokkene moet in elk geval blijken dat hij of zij ermee instemt dat uw organisatie de persoonsgegevens verwerkt. Omdat een duidelijke actieve handeling is vereist, geldt ‘stilzwijgen’ niet als toestemming. Ook een vakje op een website dat al is aangevinkt geldt niet als toestemming. Een leeg vakje waar de betrokkene zelf op moet klikken geldt daarentegen wél als toestemming.

 “Een vakje op de website dat al is aangevinkt, geldt niet als toestemming.”

Het gaat er dus om dat de betrokkene een actieve handeling moet hebben verricht, vóórdat de persoonsgegevens van deze betrokkene worden verwerkt. Als u ervoor zorgt dat u die handeling hebt vastgelegd, kunt u aantonen dat u toestemming hebt ontvangen en voldoet u op dit punt aan uw verantwoordingsplicht.

Privacyverklaring

Organisaties hebben op grond van de AVG een informatieplicht. Dit betekent dat organisaties betrokkenen schriftelijk moeten informeren over wat er met hun persoonsgegevens gebeurt en op basis waarvan dit gebeurt.

Om aan de informatieplicht te voldoen kunnen organisaties een privacyverklaring gebruiken. In een privacyverklaring wordt de door de AVG vereiste informatie aan de betrokkenen verstrekt. Zo kan in een privacyverklaring onder andere staan welke persoonsgegevens er worden verwerkt, voor welke doeleinden dit gebeurt, en op welke grondslagen de verwerking is gebaseerd. Zo’n privacyverklaring kan op de website van uw organisatie geplaatst worden zodat de betrokkenen deze te allen tijde kunnen raadplegen.

 “De privacyverklaring kan op de website worden geplaatst, zodat de betrokkene het kan raadplegen.”

Met de privacyverklaring kan een organisatie aantonen dat zij aan de informatieplicht voldoet en daarmee ook aan de op haar rustende verantwoordingsplicht.

Register van opgetreden datalekken

Onder de AVG hoeft niet elke inbreuk in verband met persoonsgegevens (datalek) aan de toezichthoudende autoriteit, in Nederland is dit de Autoriteit Persoonsgegevens, te worden gemeld. Deze inbreuk moet wel altijd intern gedocumenteerd worden.

Welke datalekken moeten aan wie gemeld worden en welke informatie moet er intern worden gedocumenteerd?

Als het waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet het datalek binnen 72 uur aan de Autoriteit Persoonsgegevens én aan de betrokkene worden gemeld. Of een datalek gemeld moet worden is afhankelijk van de omstandigheden van het geval en moet per geval beoordeeld worden.

In elk geval moet ieder datalek, ongeacht of het aan de Autoriteit Persoonsgegevens en aan de betrokkene moet worden gemeld, gedocumenteerd worden in een intern register van opgetreden datalekken. Dit betekent dat alle datalekken worden vastgelegd.

 “Alle datalekken moeten intern worden vastgelegd.”

Niet alleen het datalek moet worden gedocumenteerd, ook moet in het register de gevolgen worden vermeld én de maatregelen die zijn genomen om datalekken in de toekomst te voorkomen. De Autoriteit Persoonsgegevens kan van uw organisatie verlangen dat er toegang wordt verleend tot dit register. U moet er dus voor zorgen dat het register adequaat is.

Het uitvoeren van een Data Protection Impact Assessment (DPIA)

Het verwerken van persoonsgegevens brengt risico’s met zich mee, zeker als deze op grote schaal worden verwerkt. Als de verwerking van persoonsgegevens een hoog privacy risico oplevert, moet een organisatie een DPIA uitvoeren.

Door middel van een DPIA wordt in beeld gebracht wat de privacy risico’s zijn van een verwerking van persoonsgegevens. Daarna kunnen er gericht maatregelen worden genomen om de privacy risico’s te verkleinen. Als blijkt dat de risico’s niet met redelijke middelen en maatregelen kunnen worden beperkt, dan moet uw organisatie eerst de Autoriteit Persoonsgegevens raadplegen vóórdat zij mag overgaan tot verwerking van de persoonsgegevens.

 “Als de verwerking van persoonsgegevens een hoog privacy risico oplevert, dan moet een DPIA uitgevoerd worden.”

De AVG stelt een DPIA in drie gevallen verplicht. Het gaat om organisaties die:

  • systematisch en uitvoerig persoonlijke aspecten beoordelen (bijvoorbeeld aan profilering);
  • grootschalig bijzondere persoonsgegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerken;
  • systematisch en grootschalig personen volgen in openbaar toegankelijke ruimten (bijvoorbeeld toezicht door middel van camera’s)

Als een organisatie niet tot een van deze categorieën behoort, zal een organisatie zelf moeten beoordelen of zij een DPIA moet uitvoeren. Deze beoordeling vindt plaats aan de hand van negen criteria. Een organisatie die aan twee of meer criteria voldoet moet een DPIA uitvoeren. Deze negen criteria zijn:

  • Het beoordelen van mensen op basis van persoonskenmerken (denk bijvoorbeeld aan profiling).
  • Het nemen van geautomatiseerde beslissingen die voor de betrokkene rechtsgevolgen of vergelijkbare grote gevolgen heeft.
  • Het consequent en op grote schaal monitoren van personen.
  • Het verwerken van bijzondere persoonsgegevens.
  • Het verwerken van persoonsgegevens op grote schaal.
  • Het verwerken van persoonsgegevens die afkomstig zijn vanuit verschillende databases.
  • Het verwerken van persoonsgegevens van kwetsbare personen.
  • Het gebruik van nieuwe technologieën.
  • Het blokkeren van een recht dienst of contract.

Functionaris voor Gegevensbescherming

De Functionaris voor Gegevensbescherming (FG) is binnen de organisatie een onafhankelijk en deskundig persoon die de taak heeft om de verwerkingsverantwoordelijke te informeren en te adviseren over de omgang met persoonsgegevens. De FG houdt intern toezicht en adviseert. In sommige gevallen is het verplicht om een FG aan te stellen.

“In sommige gevallen is het verplicht om een Functionaris voor Gegevensbescherming aan te stellen.”

De FG is een natuurlijk persoon en hoeft niet in loondienst werkzaam te zijn bij de organisatie. De FG mag ook extern worden aangesteld of worden ingehuurd. Ook kunnen meerdere organisaties dezelfde FG delen. Bijvoorbeeld gemeenten kunnen één FG delen. Daarnaast mag een concern één centrale FG benoemen. De contactgegevens van de FG moeten worden doorgegeven aan de Autoriteit Persoonsgegevens.

Een organisatie is verplicht een FG aan te stellen als zij:


  • een overheidsinstantie of overheidsorgaan is;
  • hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  • hoofdzakelijk is belast met verwerken van bijzondere categorieën persoonsgegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Als het onduidelijk is of een FG voor uw organisatie verplicht is en u besluit geen FG aan te stellen, moet u wel kunnen onderbouwen waarom u ervoor gekozen hebt om geen FG aan te stellen.

De verwerkingsverantwoordelijke blijft echter, ongeacht of er al dan niet verplicht een FG is aangesteld, eindverantwoordelijk. De FG wordt alleen geraadpleegd en houdt toezicht, maar is niet degene die uiteindelijk de beslissingen neemt over het al dan niet verwerken van persoonsgegevens of het nemen van maatregelen. Dat doet de verwerkingsverantwoordelijke en die is eindverantwoordelijke.

Doe een privacyscan bij Spectrum Advocaten

Wat nu?

Om te voorkomen dat uw organisatie niet aan de verantwoordingsplicht op grond van de AVG voldoet en de Autoriteit Persoonsgegevens om die reden kan overgaan tot het opleggen van een boete aan uw organisatie, is het van belang dat u nu nodige actie onderneemt om uw organisatie in overeenstemming met de AVG te laten zijn. Zoals uit dit blog blijkt zijn er diverse verplichte maatregelen die organisaties moeten nemen. Voldoet uw organisatie aan alle verplichtingen?

Hebt u een vraag over dit blog, wilt u worden geadviseerd over uw privacybeleid of wilt u dat wij een privacyverklaring voor u opstellen, neem dan contact met ons op. Dit kan via de contactbutton op deze pagina, of u kunt een e-mail sturen naar irene@spectrumadvocaten.nl. Wij zijn u graag van dienst!

Contractenrecht & aansprakelijkheid