Management

Dit is een bijdrage van KPMG
Privacy
Hoe reageert u op een informatieverzoek?

Hoe reageert u op een informatieverzoek?

In drie stappen naar het juiste antwoord

28 oktober 2021
Door: KPMG, partner

In drie stappen naar het juiste antwoord

Iedereen mag een klacht indienen bij de Autoriteit Persoonsgegevens (AP) over een mogelijke privacyschending. Deze kan ook uw organisatie betreffen. Is dit het geval, dan kan de AP vervolgens bij u komen met een informatieverzoek. Hebt u uw privacyzaken goed op orde, dan kunt u daar snel en adequaat op reageren.

Meer rechten voor personen
Sinds de invoering van de Algemene verordening gegevensbescherming (AVG) hebben burgers meer rechten om hun privacybelangen te beschermen. Eén van die rechten is het recht om een klacht in te dienen bij de AP wanneer ze vermoeden dat u niet goed omgaat met hun persoonsgegevens. De AP benadert u dan mogelijk met vragen. Bijvoorbeeld over uw manier van werken en de wijze waarop uw organisatie aan persoonsgegevens komt en u de dataverwerking in uw organisatie regelt.

Zo geeft u het juiste antwoord
Bereid u met deze drie stappen goed voor op een informatieverzoek van de AP.

1. Neem een contactpersoon op in uw privacystatement
Wijs allereerst iemand in uw organisatie aan als contactpersoon voor privacyvragen. Deze contactpersoon kan een Data Protection Officer (DPO) zijn, maar dat hoeft niet. Wel bent u verplicht in uw privacystatement een contactpersoon en -gegevens te vermelden, voor het geval een klant of relatie een verzoek of klacht bij u wil indienen. Vaak is die contactpersoon ook degene met wie de AP contact opneemt.

Als de contactgegevens op uw website duidelijk te vinden zijn, kan de AP u makkelijker benaderen. Zorg ervoor dat de privacycontactpersoon ook bekend is bínnen uw organisatie. Zo voorkomt u dat, wanneer de AP contact opneemt, collega’s niet weten naar wie ze moeten doorverbinden.

2. Wees compleet in uw reactie
Bij een informatieverzoek neemt de AP contact met u op per brief, via mail of telefonisch. Zij vragen dan om informatie over bepaalde handelingen of werkwijzen van uw organisatie of medewerkers. Of over situaties waarin uw organisatie mogelijk de AVG overtreedt. Ook zullen zij u dan vragen om documentatie.

In uw reactie vermeldt u bij ieder verwerkingsproces:
- het doel waarvoor de persoonsgegevens verwerkt worden;
- de grondslag (in de AVG staan zes mogelijke grondslagen);
- de noodzaak (wanneer uw grondslag niet ‘toestemming’ is);
- wat u met de persoonsgegevens doet, wie ze kan inzien en waarom.

Verzoekt de AP u om een bepaalde werkwijze aan te passen? Zet uw voorgestelde aanpassing dan ook uiteen.

3. Reageer tijdig en zorgvuldig
Zorg ervoor dat u de AP op tijd antwoord geeft en dat u voldoet aan de andere instructies die de AP u geeft. Neem eventueel ook contact op met de klachtindiener als dat gepast is. Een gestructureerde AVG-complianceadministratie zal helpen bij een tijdige en zorgvuldige reactie naar de AP. Hiervan zouden bijvoorbeeld uw Verwerkingsregister, Data Protection Impact Assessments (DPIA’s), gedocumenteerde Legitimiteitsafwegingen, privacybeleid, processen, overzichten van organisatorische en technische maatregelen (incl. bewijs van effectieve uitvoering) deel uit kunnen maken.

Zo helpt KPMG

Een goede vertrouwensrelatie met uw klanten en medewerkers is de basis van het succes van uw organisatie. Met een Data Protection Officer (DPO), oftewel een functionaris voor gegevensbescherming, versterkt u die vertrouwensrelatie direct. Een ervaren DPO snapt de vragen van de AP. Een ervaren DPO kan vragen zorgvuldig en tijdig behandelen. Kiest u voor onze dienst DPO as a Service, dan profiteert u bovendien van flexibele inzet en altijd passende expertise.  

Geen DPO nodig, maar wel behoefte aan incidentele ondersteuning bij privacyvragen? Vraag ons dan naar de mogelijkheden van onze Privacy Helpdesk.

Wij helpen u ook graag bij het in kaart brengen van de privacyvolwassenheid van uw organisatie of bij het uitvoeren van DPIA’s. Met de Data Privacy-diensten van KPMG bieden we u een complete aanpak: onze privacyexperts kennen bedrijfsprocessen en -risico's door en door, kunnen privacyraamwerken goed doorvertalen naar uw organisatie, helpen u met het implementeren van organisatorische en technische databeschermingsmaatregelen en hanteren daarbij een pragmatische en hands-onaanpak. Met een scala aan specialismen gerelateerd aan privacy, in Nederland én in Europa, weet u zeker dat het vertrouwen in uw organisatie geborgd is.

Samen met onze partner CompLions bieden wij een geautomatiseerde AVG-administratie die u zal helpen bij een tijdige en zorgvuldige reactie naar de AP. Door gebruik te maken van de CompLions-GRC tool kunt u voor uw organisatie privacybeleid, verwerkingsregister, DPIA’s, processen en overzichten van organisatorische en technische maatregelen (incl. bewijs van effectieve uitvoering) centraal vastleggen en in een risicobeheersingsproces integreren. Met een scala aan specialismen gerelateerd aan privacy, in Nederland én in Europa, weet u zeker dat het vertrouwen in uw organisatie geborgd is.

Meer informatie

Wilt u meer informatie over hoe u de AVG voor ú kunt laten werken? Neem contact op met Chantal Rademaker de Ridder, partner Cyber Security & Data Privacy.

Reactie toevoegen