Wie is verantwoordelijk?

Inzicht in de GDPR

Shalini Kurapati, CIPP/E

Co-founder, Clearbox AI

Belangrijke AVG-rollen

  • Verwerkingsverantwoordelijke
  • Verwerker
  • Functionaris voor gegevensbescherming (FG) of DPO
  • Toezichthouder (SA)/ gegevensbeschermingsautoriteit (DPA)
Inzicht in de GDPR

Verwerkingsverantwoordelijke

  • Bepaalt doelen en middelen van verwerking
  • Gezamenlijke besluiten = gezamenlijke verantwoordelijken
  • Eindverantwoordelijk

Voorbeeld: boetiekbanketbakker besteedt loonadministratie uit

  • Verwerkingsverantwoordelijke: boetiek
  • Verwerker: loonbureau
Inzicht in de GDPR

Verwerker

Illustratie van een laptopscherm met data-analysediagrammen en twee handen die typen. De afbeelding stelt een verwerker voor.

  • Meestal een derde/onderaannemer die persoonsgegevens verwerkt voor de verantwoordelijke
  • Geen directe verantwoordelijkheid
  • Voorwaarden vastgelegd in Data Processing Agreement
  • Uitlijnen op verplichtingen verantwoordelijke voor compliance
Inzicht in de GDPR

Functionaris gegevensbescherming (FG) of DPO

Illustratie van een FG, voorgesteld door een vrouw die wijst naar een slotsymbool voor gegevensbescherming.

  • Monitort, adviseert, helpt naleven
  • Werkt samen met SA en is contactpunt
  • Voor zowel verantwoordelijken als verwerkers
  • Verplicht voor:
    • Overheidsinstanties
    • Hoge-risicoverwerkingen
  • Risico telt, niet bedrijfsgrootte
1 Guidelines on Data Protection Officers ('DPOs') (wp243rev.01)
Inzicht in de GDPR

Toezichthouder of gegevensbeschermingsautoriteit

Meerdere EU-vlaggen voor een gebouw in Brussel.

  • Onafhankelijke publieke autoriteit
  • Boetes bij niet-naleving
  • Alle lidstaten hebben een SA/DPA
    • Garante per la Protezione dei Dati Personali (ITA)
    • Autoriteit Persoonsgegevens (NL)
1 https://edpb.europa.eu/about-edpb/about-edpb/members_en
Inzicht in de GDPR

Datalekken: wat doe je?

Wat is een datalek?

  • Verlies, onrechtmatige toegang of openbaarmaking
  • Vertrouwelijkheid, integriteit, beschikbaarheid

Wat te doen?

  • Meld direct bij SA/DPA
  • Binnen 72 uur
  • Bij hoog risico: informeer betrokkenen, vervolgacties

Voorbeeld: hack bij online marktplaats

  • DPO: cruciale rol
  • Register van datalekken
  • Datalekbeleid
1 Guidelines on personal data breach notification under regulation 2016/679, WP250 rev.01
Inzicht in de GDPR

Afstemming tussen landen

Logo van de European Data Protection Board.

Lijst met EDPB-leden met hun respectieve vlaggen

  • Consequente toepassing van regels
  • Samenwerking tussen leden
  • EU27-toezichthouders
  • EDPS: European Data Protection Supervisor
  • IJsland, Noorwegen en Liechtenstein zonder stemrecht
1 https://edpb.europa.eu/about-edpb/about-edpb/members_en
Inzicht in de GDPR

Laten we oefenen!

Inzicht in de GDPR

Preparing Video For Download...