• het bijhouden van een verwerkingsregister;
  • een data protection impact assessment (DPIA) uitvoeren (alleen voor gegevensverwerkingen met een hoog privacyrisico);
  • het bijhouden van een register van datalekken;
  • indien voor de verwerking van persoonsgegevens gebruik wordt gemaakt van de wettelijke grondslag “toestemming”,  aantonen dat de betrokkenen daadwerkelijk toestemming heeft gegeven;
  • indien onduidelijk is of u verplicht bent een functionaris voor de gegevensverwerking aan te stellen, een onderbouwing waarom de organisatie ervoor gekozen heeft om wel of niet een functionaris voor de gegevensverwerking aan te stellen.

Tot zover de verplichte maatregelen. De Autoriteit Persoonsgegevens “moedigt het aan” daarnaast vrijwillige maatregelen te nemen. Zij geeft aan dat te denken valt aan het aansluiten bij een gedragscode, het behalen van een bepaald certificaat, het hanteren van een ICT-beveiligingsbeleid en het afleggen van verantwoording over de verwerking van persoonsgegevens in een (privacy) jaarverslag.

Vragen?

Heeft u nog vragen, neemt u dan contact op met Natascha van Duuren, Partner & Advocaat IT, Privacy & Cybersecurity