Check-Privacy voor ondersteuning bij uw implementatie van: | AVG | Verwerkersovereenkomsten | Registers | Privacy-Statements | ISO 27001 | NEN 7510 | ISO 9001 | Pentesten | 

2.1 Organisatiestructuur en taken medewerkers

In deze paragraaf wordt beschreven hoe de organisatie structuur in elkaar zit en wat de specifieke taken zijn van alle betrokken medewerkers. Het moet bekend zijn wie de vv dan wel vv's aanstelt. In de registers van hoofdstuk 4 wordt per registers de vv's en v vastgesteld. De vv kan één persoon zijn voor alle applicaties, maar deze taak kan ook verdeeld worden onder verschillende medewerkers.

 

2.1.1 De taken van de DIR

  1. De DIR  is verantwoordelijk voor de invoering en de toepassing van het AVG-beleid en van de maatregelen beschreven in dit handboek.
  2. De DIR ziet er actief op toe dat het AVG-beleid wordt geïmplementeerd. Hij treft maatregelen indien wordt geconstateerd dat het handboek niet wordt toegepast of dat er anderszins lacunes zijn in het voldoen aan de AVG.
  3. De DIR benoemd de VV:
    1. er kunnen een of meerdere VV’s worden benoemd voor de verschillende verwerkings-registers,
    2. De DIR bewaakt of de VV de taken naar behoren uitvoert.
  4. De DIR zorgt ervoor:
    1. dat alle eigen medewerkers in de Arbeidsovereenkomst, dan wel in een separaat document tekenen dat ze dit Handboek hebben doorgenomen en zich zullen houden aan alle procedures en maatregelen beschreven in dit handboek. Deze regel is alleen van toepassing op medewerkers met toegang tot persoonsgegevens,
    2. dat alle eigen medewerkers een geheimhoudingsclausule tekenen, die ook van toepassing is nadat de medewerker uit dienst is,
    3. dat bij indiensttreding van een nieuwe medewerker het introductieprogramma van Bedrijf xxx volgt. Daarin is de werkwijze voor verwerking van persoonsgegevens een vast onderwerp,
    4. dat voor zittend personeel jaarlijks een opfriscursus wordt gehouden, met dezelfde strekking als het introductieprogramma.

2.1.2 De taken van de VV

Ref: AVG:

    • art. 24

Ref. ISO:

    • Informatiebeveiliging in Leveranciersrelaties: A.15.1,1. A.15.1.2, A.15.1.3
    • Beheer van dienstverlening van leveranciers: A.15.2.1, A.15.2.2
    • Naleving van wettelijke en contractuele eisen: A.18.1 (1-4), A.18.2 (1-3)

 

De VV is verantwoordelijk voor het uitvoeren van de maatregelen van de AVG als beschreven in dit handboek.

 

De formele taken van de VV zijn:

  1. het uitvoeren van het beleid verwoord in dit handboek,
  2. het maken van (schriftelijke instructies) voor de V’s, in lijn met dit handboek,
  3. bepalen welke eigen medewerkers toegang krijgen tot specifieke registers,
  4. het zorgdragen voor het aangaan en uitvoeren van Verwerkers- overeenkomsten:
    1. met iedere (ICT-) leverancier die persoonsgegevens verwerkt of daar toegang toe heeft,
    2. bij grote leveranciers bij voorkeur een verwerkers- overeenkomst van hen,
    3. dat speciale aandacht wordt besteed aan de afhankelijkheid van leveranciers van derde partijen. Dat geldt met name voor cloud (hosting) omgevingen die zij daarvan betrekken,
  5. het regelmatig evalueren van het beleid,
  6. het gevraagd en ongevraagd adviseren aan MT om beleid aan te passen,
  7. het (laten) bijhouden van registers (bijlage 1),
  8. het aannemen van verzoeken van Betrokkenen en het beleggen van deze verzoeken in de organisatie,
  9. het assisteren bij inspecties,
  10. het geven van toestemming aan de V’s dat taken en bevoegdheden aan andere V’ s kunnen worden gedelegeerd,
  11. het zorgdragen voor voldoende competent personeel als het gaat om de kennis over de AVG en de toepassing hiervan.
    De VV zorgt ervoor dat personeel tenminste voldoet aan:
    1. het hebben van kennis van de administraties die worden gevoerd,
    2. het hebben van kennis van de vovk,
    3. het hebben van kennis van de Applicaties waarmee administraties worden gevoerd.

2.1.3 Taken van de V

Ref: AVG art. 28.

 

De taken van de V zijn:

  1. de V handelt in de geest van de AVG en van dit handboek,
  2. de V zal alleen Persoonsgegevens verwerken in opdracht van de V, de V heeft geen zeggenschap over de Persoonsgegevens,
  3. de V zal volgt de instructies van de VV, als in de verwerkersovereenkomst, op en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij de VV daar van te voren toestemming of opdracht voor geeft c.q. heeft gegeven,
  4. de V neemt geen andere verwerker (onderaannemer) in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de VV.

 

Vorige pagina     Index      Volgende pagina

Afdrukken