Toezichthouder en AVG: dit zijn jouw taken en verantwoordelijkheden

  • Blog

Toezichthouders hebben een duidelijke rol als het gaat om privacy én informatiebeveiliging binnen organisaties. De eisen uit de Algemene verordening gegevensbescherming raken niet alleen de verwerking van persoonsgegevens, maar ook de manier waarop deze gegevens worden beschermd. Dat betekent dat toezicht zich richt op het geheel: beleid, gedrag én technische beveiliging.

 

Toezicht op privacy en informatiebeveiliging begint bij de juiste vragen

De verantwoordelijkheid van een toezichthouder ligt niet in de uitvoering, maar in het scherp houden van de organisatie. Door gerichte vragen te stellen ontstaat er inzicht in risico’s, keuzes en prioriteiten op het gebied van privacy en informatiebeveiliging.

Bestaande instrumenten kunnen daarbij helpen, zoals interne rapportages, audits en de inzet van een Functionaris Gegevensbescherming (FG). Deze geven zicht op hoe de organisatie omgaat met persoonsgegevens en hoe informatie wordt beveiligd.

 

De positie van de FG

De FG vervult een centrale rol binnen het toezicht op privacy. Deze functionaris houdt onafhankelijk toezicht en adviseert over de naleving van de AVG. In de praktijk raakt dit ook direct aan informatiebeveiliging, omdat bescherming van persoonsgegevens niet los te zien is van beveiligingsmaatregelen.

Belangrijke aandachtspunten:

  • Heeft de FG directe toegang tot het hoogste niveau binnen de organisatie?
  • Wordt de FG tijdig betrokken bij nieuwe systemen, processen en digitale ontwikkelingen?
  • Krijgen adviezen van de FG een zichtbare plek in besluitvorming?
  • Wordt er geleerd van incidenten zoals datalekken en beveiligingsincidenten?

Regelmatig contact met de FG helpt om inzicht te krijgen in hoe privacy en informatiebeveiliging in de praktijk samenkomen.

Tip: nodig de FG periodiek uit bij een vergadering. Dit maakt het mogelijk om direct met elkaar in gesprek te gaan over risico’s, dilemma’s en ontwikkelingen. Het helpt om verder te kijken dan rapportages en geeft extra verdieping aan het toezicht.

 

Privacy en informatiebeveiliging als onderdeel van de organisatie

Privacy en informatiebeveiliging raken de kern van het handelen van een organisatie. Het gaat niet alleen om regels, maar om de manier waarop zorgvuldig wordt omgegaan met gegevens en systemen.

Aandachtspunten voor toezicht:

  • Zijn privacy en informatiebeveiliging onderdeel van visie en kernwaarden?
  • Wordt er ook in de digitale omgeving zorgvuldig omgegaan met medewerkers en andere betrokkenen?
  • Is er bewustzijn binnen alle lagen van de organisatie over veilig en zorgvuldig werken?

Wanneer beide thema’s samen worden gedragen, ontstaat een sterke basis voor betrouwbaarheid en continuïteit.

 

Inzicht in risico’s en beheersmaatregelen

Een belangrijke taak van toezichthouders is het beoordelen of risico’s op het gebied van privacy en informatiebeveiliging goed in beeld zijn en of passende maatregelen worden genomen.

Relevante onderwerpen:

  • Hoe worden datalekken en beveiligingsincidenten geregistreerd, geanalyseerd en opgevolgd?
  • Hoe gaat de organisatie om met bijzondere en strafrechtelijke persoonsgegevens?
  • Hoe worden systemen en gegevens beschermd tegen ongeautoriseerde toegang?
  • Hoe wordt omgegaan met de inzet van algoritmes en AI?
  • Wordt gebruikgemaakt van privacy enhancing technologies en andere beveiligingsmaatregelen?

Ook ketenpartners horen hierbij. Leveranciers en samenwerkingspartners hebben vaak toegang tot systemen of gegevens. Het is belangrijk dat duidelijk is hoe deze toegang is geregeld en welke beveiligingseisen gelden.

 

Internationale gegevensstromen en digitale veiligheid

Wanneer persoonsgegevens buiten de Europese Economische Ruimte worden verwerkt of toegankelijk zijn, ontstaat een combinatie van privacy- en beveiligingsvraagstukken.

Vragen die hierbij passen:

  • Worden gegevens buiten de EER verwerkt of beheerd?
  • Welke technische en organisatorische maatregelen beschermen deze gegevens?
  • Is duidelijk welke partijen toegang hebben en onder welke voorwaarden?

Dit vraagt om inzicht in zowel juridische afspraken als beveiligingsmaatregelen.

 

Transparantie en verantwoording

Organisaties moeten laten zien hoe zij omgaan met persoonsgegevens én hoe zij deze beveiligen. Transparantie speelt daarbij een belangrijke rol.

Belangrijke elementen:

  • Een duidelijke en actuele privacyverklaring.
  • Een volledig en actueel verwerkingsregister.
  • Rapportages waarin privacy- en beveiligingsrisico’s zichtbaar zijn.

De auditcommissie gebruikt deze informatie om een compleet beeld te vormen. Rapportages van de FG en informatiebeveiliging vullen elkaar daarbij aan.

 

Toezicht als doorlopend proces

Toezicht op privacy en informatiebeveiliging vraagt om continue aandacht. Door het gesprek te voeren en ontwikkelingen te volgen, blijven risico’s zichtbaar en beheersbaar.

Die betrokkenheid zorgt ervoor dat organisaties niet alleen voldoen aan de AVG, maar ook werken aan een veilige digitale omgeving. Privacy en informatiebeveiliging worden daarmee een vanzelfsprekend onderdeel van goed bestuur en verantwoord handelen.

Veelgestelde vragen

Wat zijn de belangrijkste taken van een toezichthouder onder de Algemene verordening gegevensbescherming?

Een toezichthouder houdt onafhankelijk toezicht op hoe een organisatie omgaat met persoonsgegevens. De focus ligt op het stellen van kritische vragen, het beoordelen van risico’s en het volgen van ontwikkelingen op het gebied van privacy en informatiebeveiliging. Het doel is om te zorgen dat de organisatie zorgvuldig en rechtmatig handelt.

Welke rol speelt de Functionaris voor Gegevensbescherming (FG)?

De FG houdt intern toezicht op de naleving van de AVG en adviseert de organisatie over privacyvraagstukken. Deze rol is onafhankelijk en zonder instructies. Voor toezichthouders is de FG een belangrijke gesprekspartner die inzicht geeft in risico’s, knelpunten en verbetermaatregelen.

Hoe kan een toezichthouder beoordelen of privacy en informatiebeveiliging goed zijn ingericht?

Door te kijken naar beleid, processen én praktijk. Denk aan het bestaan van een actueel verwerkingsregister, duidelijke rapportages, een werkende incidentenprocedure en zichtbare betrokkenheid van bestuur en medewerkers. Ook de manier waarop met risico’s wordt omgegaan geeft veel inzicht.

Welke vragen zijn belangrijk bij datalekken en privacyrisico’s?

Belangrijke vragen gaan over hoe incidenten worden geregistreerd, geanalyseerd en opgevolgd. Daarnaast is het relevant om te weten welke verbetermaatregelen worden genomen en of hiervan wordt geleerd. Ook de betrokkenheid van de FG bij dit proces is een belangrijk aandachtspunt.

Waar moet op worden gelet bij internationale gegevensverwerking buiten de EER?

Het is belangrijk om te controleren of persoonsgegevens buiten de Europese Economische Ruimte worden verwerkt en of dit voldoet aan de AVG. Daarbij horen passende waarborgen, zoals contractuele afspraken en beveiligingsmaatregelen. Ook moet duidelijk zijn wie toegang heeft tot de gegevens.

Hoe blijft privacy en informatiebeveiliging structureel op de agenda van toezichthouders?

Door het onderwerp regelmatig terug te laten komen in vergaderingen en rapportages. Het helpt om de FG periodiek uit te nodigen voor toelichting en reflectie. Door actief het gesprek te voeren, blijven risico’s zichtbaar en krijgt privacy en informatiebeveiliging een vaste plek binnen het toezicht.

Deel dit artikel via:

Gerelateerde artikelen

DPIA in de praktijk

Een Data Protection Impact Assessment (DPIA) wordt vaak uitgevoerd wanneer een organisatie een nieuw systeem introduceert, een digitale dienst implementeert of een nieuwe leverancier inschakelt

Lees meer

Menu