Wie is er Verantwoordelijk voor het garanderen van de AVG-naleving Binnen een Bedrijf?
Toen de Algemene Verordening Gegevensbescherming(AVG) werd geïmplementeerd in mei 2018, moesten bedrijven, organisaties en marketeers allemaal leren hoe de veranderingen invloed op hen hadden. Een deel van de transitie betekende het vinden van betrouwbare bronnen voor het garanderen van de AVG-naleving. Nu, vier jaar later, blijft het strenge karakter van de AVG een uitdaging voor veel bedrijven om er bovenop te blijven.
Het is belangrijk voor bedrijven van alle afmetingen die met het verwerken van data van individuen te maken hebben, dat ze de juiste mensen aan boord hebben, om ervoor te zorgen dat ze AVG-compliant blijven. Het niet correct uitvoeren kan leiden tot harde maatregelen. Gelukkig is er meer dan één individu, die de AVG-naleving binnen een bedrijf monitort. Deze monumentale taak is verspreid over vier hoofdrollen.
Deze vier roltypes zijn verantwoordelijk voor het garanderen dat uw organisatie de AVG-reguleringen volgt en behaalt. Professionele DPO (Data Protection Officer) diensten zijn er om deze rollen te verduidelijken en om te helpen met het garanderen dat de bedrijven AVG-compliant zijn. Maar voordat we deze rollen in detail gaan bekijken, kijken we eerst wat de AVGnu echt is, waarom het belangrijk is om er over te weten en wat de risico’s zijn voor overtreding van deze regelgeving.
Wat is AVG en waarom is naleving belangrijk?
De introductie van AVG heeft veel bedrijven zowel klein als groot verrast, die iets met dataprotectie te maken hebben. AVG is een digitale privacy regulering gevormd voor de rechten van het individu. Een deel van de gedachte verantwoordelijk voor het onstaan hiervan kwam van de uitkomsten van het vergaren van data van grote bedrijven en hoe het wel eens werd gebruikt voor soms draconische doelen.
AVG-regulatie betekent dat bedrijven verplicht zijn privacy instellingen in hun websites, digitale producten en veel marketingtools die data gebruiken, verzamelen en data opslaan te implementeren. De regulering betekent ook dat bedrijven niet zomaar meer data kunnen verzamelen, maar hiervoor toestemming moeten vragen. Het betekent ook dat alleen de nodige informatie verzameld en opgeslagen mag worden. Bedrijven van alle soorten en afmetingen die met een vorm van data verzameling of verwerking te maken hebben, moeten volledige toegang verlenen tot het opzeggen van opslaan van individuele data.
In essentie zet de AVG het individu boven bedrijven. Om die reden en nog meer kiezen veel bedrijven voor het gebruik van DPO-diensten, om ze te helpen met het begrijpen van de regulering en om ze correct te kunnen navolgen. Ze kunnen de impact op de privacy bekijken, dat uitvoeren en zo ook hun beveiliging versterken in hoe ze persoonlijke data verwerken en erom vragen. Ze helpen ook met de documentatie van de nodige gegevensopslag.
De niet-navolging van AVP kan massieve schade berokkenen aan bedrijven die zich niet aansluiten of die aan datalekken lijden, welke persoonlijk dataverlies via hun bedrijf als gevolg van schade te verwerken krijgen. Deze kunnen gigantische boetes of verlies in globale omzet als gevolg hebben. Bedrijven dienen ervoor te zorgen, dat ze de juiste personen hebben en dat die personen verantwoordelijkheid hebben voor het up-to-date houden van AVG-naleving.
De vier types persoonlijke verantwoordelijkheid voor AVG-naleving.
1. Functionaris Gegevensbescherming.
De Data Protection Officer (DPO) leiderschapsrol is nodig door de EU AVG. Het is een noodzakelijke rol voor bedrijven die de persoonlijke data verwerken van EU-bedrijven. DPO’s zijn verantwoordelijk voor de data protectie strategie, de aanpak en implementatie van de juiste protocollen voor volledige naleving met AVP.
DPO’s hebben de meeste verantwoordelijkheid om de AVG-naleving te garanderen. Ze hebben ook een leidende rol in het adviseren van medewerkers over de juiste handelingen om de bescherming van de data van het individu te beschermen. De huidige medewerker kan de rol van DPO toegewezen krijgen, maar het werk heeft wel duidelijke kennis van AVG nodig. Om deze reden, schakelen veel bedrijven de hulp in van professionele DPO-diensten. Velen kiezen er ook voor om externe DPO’s te gebruiken. Dit betekent dat de DPO niet fysiek aanwezig hoeft te zijn. Ze kunnen hun rol overal vervullen. Dit helpt ook met het verminderen van de impact op het dagelijkse werk van het bedrijf om dingen continu soepel en zonder onderbrekingen te laten verlopen.
2. Controller.
Deze rol is een persoon of wettelijke entiteit, die de manier beslist over hoe de data wordt verwerkt. Dit kan een enkele persoon zijn of een team van medewerkers die als een controller functioneert. Deze geven feedback aan de uitoefening van het bedrijf over zijn of haar AVG-praktijken en leggen uit hoe de naleving wordt behouden over data onderwerpen en wanneer nodig aan de overkoepelende toezichthouder.
3. Processor.
Dit kunnen individuen of wettelijke entiteiten zijn, die persoonlijke data verwerken namens de controller. Ze worden ook soms wel eens de “derde partij” genoemd. Ze zijn verantwoordelijk voor de verificatie die de condities hebben uitgelegd in de Data Processing Agreement die is getekend door de controller en dat de AVG-naleving behouden wordt.
4. Supervisie Autoriteit
Een supervisie autoriteit (SA), is een publieke autoriteit die gezeteld is in een EU-land, verantwoordelijk voor het monitoren van de naleving van AVG-praktijken. Deze worden soms ook een Privacy Commisioner of Data Protection Autoriteit genoemd.
De SA’s hoofdverantwoordelijkheid is om bedrijven over AVG in te lichten. Ze kunnen ook audits uitvoeren, dataproblemen onder de aandacht brengen en boetes toekennen wanneer bedrijven zich niet aan de naleving houden. Er is een SA toegewezen aan elke lidstaat van de EU.
Deze vier rollen zijn verantwoordelijk voor het garanderen van De AVG-naleving binnen een bedrijf. Samen zullen ze in naam van de bedrijven handelen om ze in lijn te houden en de delicate natuur van dataverwerking te garanderen.