Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

2.1 Organisatiestructuur en taken medewerkers

In deze paragraaf wordt beschreven hoe de organisatie structuur in elkaar zit en wat de specifieke taken zijn van alle betrokken medewerkers. Het moet bekend zijn wie de vv dan wel vv's aanstelt. In de registers van hoofdstuk 4 wordt per registers de vv's en v vastgesteld. De vv kan één persoon zijn voor alle applicaties, maar deze taak kan ook verdeeld worden onder verschillende medewerkers.

Voor de taken van de VV, zie ook AVG art. 24 en ISO artikelen:

  • Informatiebeveiliging in Leveranciersrelaties: A.15.1,1. A.15.1.2, A.15.1.3
  • Beheer van dienstverlening van leveranciers: A.15.2.1, A.15.2.2
  • Naleving van wettelijke en contractuele eisen: A.18.1 (1-4), A.18.2 (1-3)

Voor de taken van de V, zie ook AVG art. 28

 

2.1.1 De taken van de DIR

De Directie van  XXX is verantwoordelijk voor de invoering en de toepassing van het AVG-beleid en van de maatregelen beschreven in dit handboek. De Directie ziet er actief op toe dat het AVG-beleid wordt geïmplementeerd. Zij treft maatregelen indien wordt geconstateerd dat het handboek niet wordt toegepast of dat er anderszins lacunes zijn in het voldoen aan de AVG. De Directie benoemt de VV’s; er kunnen meerdere VV’s worden benoemd voor de verschillende verwerkingsactiviteiten. De Directie bewaakt dat de VV zijn taken naar behoren uitvoert.

 

De Directie zorgt ervoor:

  • dat eigen medewerkers in de Arbeidsovereenkomst, dan wel in een separaat document tekenen dat ze dit Handboek hebben doorgenomen en zich zullen houden aan procedures en maatregelen beschreven in dit handboek. Deze voorwaarde is alleen van toepassing op medewerkers met toegang tot persoonsgegevens,
  • dat eigen medewerkers een geheimhoudingsclausule tekenen, die ook van toepassing blijft nadat de medewerker uit dienst is,
  • dat bij indiensttreding een nieuwe medewerker het introductieprogramma van  XXX volgt. Daarin is de werkwijze voor verwerking van persoonsgegevens een vast onderwerp,
  • dat voor zittend personeel jaarlijks een opfriscursus wordt gehouden, met dezelfde strekking als het introductieprogramma.

2.1.2 De taken van de VV

De formele taken van de VV zijn:

  1. het uitvoeren van het beleid verwoord in dit handboek,
  2. het maken van (schriftelijke instructies) voor de V’s, in lijn met dit handboek,
  3. het bepalen welke eigen medewerkers toegang krijgen tot specifieke verwerkingsactiviteiten,
  4. het zorgdragen voor het aangaan en uitvoeren van Verwerkers- overeenkomsten:
    1. met iedere (ICT-) leverancier die persoonsgegevens verwerkt of daar toegang toe heeft,
    2. bij grote leveranciers bij voorkeur een verwerkers- overeenkomst van hen,
    3. dat speciale aandacht wordt besteed aan de afhankelijkheid van leveranciers van derde partijen. Dat geldt met name voor cloud (hosting) omgevingen die zij daarvan betrekken.
  5. het regelmatig evalueren van het beleid,
  6. het gevraagd en ongevraagd adviseren aan Directie om beleid aan te passen,
  7. het (laten) bijhouden van registers (bijlage 1),
  8. het aannemen van verzoeken van Betrokkenen en het beleggen van deze verzoeken in de organisatie,
  9. het assisteren bij inspecties,
  10. het geven van toestemming aan de V’s dat taken en bevoegdheden aan andere V’ s kunnen worden gedelegeerd,
  11. het zorgdragen voor voldoende competent personeel als het gaat om de kennis over de AVG en de toepassing hiervan,

De VV zorgt ervoor dat personeel tenminste voldoet aan:

    1. het hebben van adequate kennis van de verwerkingsactiviteiten die worden gevoerd,
    2. het hebben van kennis van de Verwerkersovereenkomsten,
    3. het hebben van kennis van de Applicaties waarmee verwerkingsactiviteiten worden gevoerd.

2.1.3 Taken van de V

De taken van de V zijn:

  1. de V handelt in de geest van de AVG en van dit handboek,
  2. de V verwerkt alleen Persoonsgegevens in opdracht van de VV; de V heeft geen zeggenschap over de Persoonsgegevens,
  3. de V volgt de instructies van de VV, als in de verwerkersovereenkomst, op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij de VV daar van te voren toestemming of opdracht voor geeft c.q. heeft gegeven,
  4. De V neemt geen andere verwerker (onderaannemer) in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de VV.

 

Vorige pagina     Index      Volgende pagina

Afdrukken