Wat zijn de plichten van de verwerkingsverantwoordelijke?
Op grond van de Verordening moet elke verwerking van persoonsgegevens voldoen aan de volgende beginselen:
- de verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn (“rechtmatigheid, behoorlijkheid en transparantie”);
- de verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”);
- de persoonsgegevens moeten toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is (“minimale gegevensverwerking”);
- de gegevens moeten juist zijn (“juistheid”);
- de gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”);
- gegevens moeten goed beveiligd zijn en vertrouwelijk blijven (“integriteit en vertrouwelijkheid”).
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze beginselen en moet ook kunnen aantonen dat een verwerking van persoonsgegevens aan deze beginselen voldoet (de verantwoordingsplicht). Concreet dient de verwerkingsverantwoordelijke hiertoe:
- een register van verwerkingsactiviteiten bij te houden (de registerplicht);
- onder bepaalde omstandigheden een functionaris voor gegevensbescherming aan te stellen;
- voorafgaand aan risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling uit te voeren;
- de Autoriteit Persoonsgegevens onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle verwerkingsactiviteit te raadplegen (voorafgaande raadpleging);
- bij het inrichten van verwerkingen rekening te houden met het principe van privacy door ontwerp en standaardinstellingen (privacy by design & default);
- passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens;
- in het geval van een datalek melding te doen bij de Autoriteit Persoonsgegevens en onder bepaalde omstandigheden ook bij de betrokkenen;
- afspraken te maken met verwerkers.
- medewerking te verlenen aan de Autoriteit Persoonsgegevens.
Tenslotte dient de verwerkingsverantwoordelijke de rechten van de betrokkenen te respecteren en in te vullen.
Bron: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleidingalgemeneverordeninggegevensbescherming.pdf