De nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), is vanaf 25 mei 2018 van toepassing in de hele Europese Unie. Dit betekent dat u vanaf die datum aan de bepalingen in de AVG dient te voldoen. Gelet op de verplichtingen in de AVG en de stevige boetes die de Autoriteit Persoonsgegevens kan opleggen, is het voor u van groot belang acties en maatregelen te treffen zodat uw organisatie eind mei voldoet aan de AVG.

Download stappenplan AVG

Ter voorbereiding op de nieuwe privacywet, hebben wij voor u een stappenplan opgesteld. Als u dit stappenplan doorloopt, dan is uw organisatie straks klaar voor de AVG. Het stappenplan bestaat in totaal uit 10 stappen. De vorige keer behandelden we stap 9. Controleer uw bewerkersovereenkomsten en verwerkersovereenkomsten. Nu de laatste stap, stap 10. Bepaal onder welke toezichthouder u valt.

Download stappenplan AVG

De AVG gaat uit van de zogeheten onestopshop-regel. Dit houdt in dat als u een grensoverschrijdende gegevensverwerking uitvoert, u maar met één privacytoezichthouder zaken hoeft te doen. Deze toezichthouder wordt de 'leidend toezichthouder' genoemd.

Is het voor u relevant om te bepalen wie leidend toezichthouder is?

Het bepalen van de leidend toezichthouder is alleen relevant als u een grensoverschrijdende verwerking van persoonsgegevens uitvoert. 

In de navolgende twee gevallen is sprake van een grensoverschrijdende verwerking:

  1. Als uw organisatie gegevens verwerkt in verschillende landen. Dit betekent bijvoorbeeld dat wanneer uw organisatie een vestiging heeft in Nederland en Duitsland en in het kader van haar activiteiten in beide landen persoonsgegevens verwerkt, dit als grensoverschrijdende verwerking wordt gezien;
  2. Als de verwerking die uw organisatie uitvoert voor de betrokkene wezenlijke gevolgen heeft in meer dan één lidstaat (of dat dit waarschijnlijk is).

Welk leidend toezichthouder?

De leidend toezichthouder is in principe de toezichthouder van de lidstaat waar uw organisatie is gevestigd. Heeft u meerdere vestigingen in de EU, dan dient u te bepalen welke vestiging uw hoofdvestiging is.

Voor de verwerkingsverantwoordelijke is de hoofdvestiging de plaats waar uw centrale administratie in de EU is gelegen. Dit is anders als de beslissingen over het doel en de middelen van verwerkingen van persoonsgegevens worden genomen in een andere vestiging. Dan is dit de hoofdvestiging.

Voor de verwerker is de hoofdvestiging de plaats waar uw centrale administratie in de EU is gelegen. Heeft u geen centrale administratie, dan is de hoofdvestiging de vestiging waar de voornaamste verwerkingsactiviteiten plaatsvinden.

Er kunnen zich gevallen voordoen waarin er meer dan één leidend toezichthouder is. Dit is bijvoorbeeld het geval wanneer uw organisatie verschillende grensoverschrijdende gegevensverwerkingen uitvoert en de beslissingen daarover in verschillende landen worden genomen.

Download het complete stappenplan AVG

Voor het gemak, hebben we de 10 stappen voor u gebundeld in een stappenplan. Download hier ons complete stappenplan.

Heeft u vragen over de AVG of wilt u graag dat wij u helpen bij de voorbereidingen op de AVG? Neem gerust contact met ons op.

Eerder verschenen stappen in het stappenplan AVG

________________________________

Begrippenlijst
In de tekst staan enkele begrippen cursief. Dit zijn begrippen die u wellicht nog niet kent. U vindt een toelichting van deze begrippen in het stappenplan AVG