Op grond van artikel 37 AVG moet de verwerkingsverantwoordelijke in een aantal situaties verplicht een Functionaris voor gegevensbescherming aannemen. Decentrale overheidsorganisaties die persoonsgegevens verwerken zijn bijvoorbeeld verplicht om een FG aan te stellen. Een FG adviseert over de toepassing van de AVG en staat de verwerker en verwerkingsverantwoordelijke bij met het intern toezicht op de naleving van de AVG.

Volgens artikel 35 van de AVG moet een verwerkingsverantwoordelijke in sommige gevallen een gegevensbeschermingseffectbeoordeling uitvoeren wanneer hij een verwerking van persoonsgegevens met een hoog risico uitvoert. Deze term is ook bekend als de data protection impact assessment (DPIA). Met een DPIA maakt een verwerkingsverantwoordelijke voorafgaand aan de verwerking een inschatting van de gevolgen voor de persoonlijke levenssfeer van de betrokkene en welke passende maatregelen hij kan nemen om de AVG na te leven. De betrokkene is degene van wie de persoonsgegevens worden verwerkt. Lees op onderstaande pagina meer over de DPIA.

De verwerkingsverantwoordelijke moet op grond van artikel 32 van de AVG de verwerking van persoonsgegevens passend beveiligen. Het kan echter voorkomen dat persoonsgegevens toegankelijk worden gemaakt voor personen die daar geen toegang tot moeten hebben. Dit is een datalek. Een datalek moet in bepaalde gevallen gemeld worden aan de Autoriteit Persoonsgegevens. Wanneer dat is en welke verplichtingen dit nog meer met zich meebrengt voor decentrale overheden kunt u lezen op deze pagina.

Volgens de AVG moeten decentrale overheden als verwerkingsverantwoordelijke werken volgens de principes van privacy by design en privacy by default. Wat betekent dit precies? Dat leest u op onderstaande pagina.

De AVG stelt dat een decentrale overheid verwerkingsverantwoordelijke is als zij de doelen en middelen bepaalt van iedere verwerking van persoonsgegevens. Indien de decentrale overheid verwerkingsverantwoordelijke is, heeft zij op grond van de AVG verschillende verplichtingen.

Decentrale overheden mogen alleen persoonsgegevens verwerken wanneer zij hier een rechtsgrondslag voor hebben. Dat betekent dat zij een goede reden moeten hebben om persoonsgegevens te verwerken. De AVG stelt zes grondslagen voor het verwerken van persoonsgegevens. Met name de eerste grondslag toestemming dient aan strenge voorwaarden te voldoen. Op deze pagina vindt u meer informatie over de zes grondslagen.

Volgens de AVG moeten de verwerkingsverantwoordelijke en de verwerker van persoonsgegevens een register van de verwerkingsactiviteiten bijhouden. Eerder moest een verwerking van persoonsgegevens nog worden gemeld bij de Autoriteit Persoonsgegevens. Met de AVG is deze meldplicht verdwenen en ligt er meer verantwoordelijkheid bij de organisatie zelf. Wanneer de AP er om vraagt, moeten de verwerkingsverantwoordelijke en verwerker het register ter beschikking stellen.