De rollen binnen de AVG

Iedere organisatie werkt met persoonsgegevens. Wie welke verantwoordelijkheid heeft bij het verzamelen, opslaan, verwerken en toepassen van persoonsgegevens is opgenomen in de GDPR (AVG).

In de regels van de GDPR zijn twee (informatie)rollen benoemd: de controller (verwerkingsverantwoordelijke) en de processor (verwerker) van persoonsgegevens. De persoon die gegevens ‘aanlevert’ is de betrokkene (data subject). Wanneer jouw kantoor organisatie persoonsgegevens opvraagt of verwerkt, wordt jij gezien als de controller.

Het verwerken van die persoonsgegevens kan handmatig, geautomatiseerd, op papier of digitaal. Deze gegevens kun je o.a. verzamelen, opslaan, doorsturen, gebruiken en verwijderen. De gekregen gegevens kun je op basis van een analyse van kenmerken categoriseren en op basis daarvan sturing geven.

Degene die beslist welke gegevens worden verwerkt, voor welk doel en hoe, zal de verantwoordelijke en het enige contactpunt voor de betrokkene zijn. En indien nodig de toestemming van de betrokkene vragen.

Verantwoordelijkheden van de controller

Als controller ben je verantwoordelijk voor het verzamelen van de gegevens en voor het krijgen van toestemming van de persoon van wie de gegevens zijn. Ook moet je ervoor zorgen dat deze gegevens alleen voor het doel worden verwerkt waarvoor ze zijn verkregen. Als de persoon over wie de data gaan een verzoek doet om zijn data te verwijderen, moet je daaraan kunnen voldoen.

Verantwoordelijkheden van de processor

De processor (verwerker) is verantwoordelijk voor het fysiek opslaan van de gegevens en de bewaking ervan, zodat derden geen onrechtmatige toegang tot de gegevens kunnen krijgen. Ook bij afwijkingen of privacy-incidenten zal hij jou (de controller) moeten informeren. Kortom, de processor kiest niet zelf welke gegevens worden verwerkt, waarom of hoe. Dit is in opdracht van de controller.

Conclusie: de betrokkenen moeten steeds ingelicht worden over de doeleinden (purposes) van de verwerkingen en indien nodig hun toestemming geven per specifiek doel. Belangrijk om te weten is dat je ook toestemming nodig hebt van de klant, indien je zijn persoonsgegevens laat verwerken door een andere partij (sub-processor), bijvoorbeeld van een software leverancier (Yuki)

Jildou de Vries

Jildou de Vries

Bij Yuki werk ik als Marketeer. Ik houd mij bezig met alle (online) marketing activiteiten, zoals de website, social media, events & SEA en SEO.
Jildou de Vries

Recente berichten van Jildou de Vries (alle berichten)