DSRRM en AVG-beleid
EITCA Academy-beleid inzake het beheer van verzoeken om rechten van betrokkenen en de algemene verordening gegevensbescherming
Dit document specificeert het beleid van het Europees IT-certificeringsinstituut inzake het beheer van verzoeken om rechten van betrokkenen, evenals de implementatie van de algemene verordening gegevensbescherming van de EU, die regelmatig wordt herzien en bijgewerkt om de doeltreffendheid en relevantie ervan te waarborgen. De laatste update van het EITCI Data Subject Rights Requests Management en GDPR-beleid is gemaakt op 10 januari 2023. Ons Data Subject Rights Requests Management en GDPR-beleid is gebaseerd op de principes van de ISO 27701 Privacy Information Management System-uitbreiding op de ISO 27001 Information Security Systeemstandaard, evenals op de vereisten van de Algemene Verordening Gegevensbescherming (2016/679).
Deel 1. Inleiding
Het beheer van verzoeken om rechten van betrokkenen is een essentieel onderdeel van het waarborgen van de naleving van de regelgeving inzake gegevensbescherming, namelijk de AVG (Algemene Verordening Gegevensbescherming van de EU). Het European IT Certification Institute heeft de volgende formele procedures gedefinieerd voor het beheren van verzoeken om rechten van betrokkenen en het implementeren van de vereisten van de AVG:
1.1. Het opzetten van een proces voor het afhandelen van verzoeken om rechten van betrokkenen
Dit proces schetst de stappen die het European IT Certification Institute volgt bij het afhandelen van verzoeken om rechten van betrokkenen, waaronder de identificatie en authenticatie van de betrokkene, de verificatie van het verzoek van de betrokkene en het antwoord op het verzoek.
1.2. Een functionaris voor gegevensbescherming (FG) aanwijzen
Het European IT Certification Institute wijst een DPO aan die verantwoordelijk is voor het toezicht op het beheer van verzoeken om rechten van betrokkenen, inclusief de beoordeling van verzoeken, het beantwoorden van verzoeken en het waarborgen van de naleving van de regelgeving inzake gegevensbescherming.
1.3. Bijhouden van een actueel register van persoonsgegevens
Het European IT Certification Institute houdt een actueel register bij van de persoonsgegevens die het bezit en de doeleinden waarvoor deze worden verwerkt. Hierdoor kan het European IT Certification Institute snel en nauwkeurig reageren op verzoeken om rechten van betrokkenen.
1.4. Het verstrekken van duidelijke en beknopte informatie aan betrokkenen
Bij het verzamelen van persoonsgegevens verstrekt het European IT Certification Institute duidelijke en beknopte informatie aan betrokkenen over hun rechten, waaronder het recht op toegang tot, rectificatie, wissen van en bezwaar tegen de verwerking van hun persoonsgegevens.
1.5. Opstellen van een standaard responstijd
Het European IT Certification Institute handhaaft een standaard responstijd voor verzoeken om rechten van betrokkenen en zorgt ervoor dat verzoeken binnen deze termijn worden beantwoord.
1.6. Het verifiëren van de identiteit van de betrokkene
Het European IT Certification Institute verifieert de identiteit van de betrokkene die het verzoek doet om ervoor te zorgen dat de persoonsgegevens alleen aan de juiste persoon worden verstrekt.
1.7. Snel reageren op verzoeken om rechten van betrokkenen
Het European IT Certification Institute reageert snel op verzoeken om rechten van betrokkenen en verstrekt de betrokkene de gevraagde informatie.
1.8. Documenteren van verzoeken om rechten van betrokkenen
Het European IT Certification Institute houdt een register bij van verzoeken om rechten van betrokkenen, inclusief de datum van het verzoek, de aard van het verzoek en het antwoord op het verzoek.
1.9. Bewaken en reviewen van het proces
Het European IT Certification Institute controleert en evalueert regelmatig zijn proces voor het afhandelen van verzoeken om rechten van betrokkenen om ervoor te zorgen dat het effectief blijft en voldoet aan de relevante regelgeving inzake gegevensbescherming.
1.10. Opstellen van het register van verwerkingsactiviteiten
Het European IT Certification Institute houdt het register van verwerkingsactiviteiten bij, een document dat de verwerking van persoonsgegevens door de organisatie beschrijft. Het is vereist onder de Algemene Verordening Gegevensbescherming (AVG) van de EU en is bedoeld om het begrip van gegevensverwerkingsactiviteiten te ondersteunen en naleving van de AVG aan te tonen.
Door deze formaliteiten en procedures te volgen, kan het Europees IT-certificeringsinstituut verzoeken om rechten van betrokkenen effectief beheren en zorgen voor naleving van de regelgeving inzake gegevensbescherming, waaronder de algemene verordening gegevensbescherming in de Europese Unie.
Deel 2. Vaststellen van een proces voor het afhandelen van verzoeken om rechten van betrokkenen
Dit proces schetst de stappen die het European IT Certification Institute volgt bij het afhandelen van verzoeken om rechten van betrokkenen, waaronder de identificatie en authenticatie van de betrokkene, de verificatie van het verzoek van de betrokkene en het antwoord op het verzoek:
2.1. Identificatie en authenticatie van de betrokkene
Het European IT Certification Institute onderhoudt een proces om de identiteit te verifiëren van de betrokkene die het verzoek indient. Dit kan het vragen om een door de overheid uitgegeven identiteitsbewijs zijn, het controleren aan de hand van bestaande gegevens of het gebruik van andere authenticatiemethoden.
2.2. Het verifiëren van het verzoek van de betrokkene
Zodra de identiteit van de betrokkene is vastgesteld, moet het Europees IT-certificeringsinstituut verifiëren of het verzoek geldig is en betrekking heeft op de persoonsgegevens van de betrokkene. Het verzoek moet ook het specifieke recht bevatten dat wordt uitgeoefend, zoals het recht op toegang tot, rectificatie of verwijdering van persoonsgegevens.
2.3. Reageren op het verzoek
Het Europees IT-certificeringsinstituut moet reageren op het verzoek van de betrokkene binnen het tijdsbestek dat is gespecificeerd door de relevante wetgeving inzake gegevensbescherming, maar niet langer dan 30 dagen. Het antwoord moet een uitleg bevatten of het verzoek is ingewilligd of afgewezen, en de redenen voor het besluit.
2.4. Het documenteren van het verzoek en de reactie
Het European IT Certification Institute houdt een register bij van alle verzoeken en reacties op de rechten van betrokkenen. Dit helpt om te zorgen voor naleving van relevante wetgeving inzake gegevensbescherming en om toekomstige audits of onderzoeken te vergemakkelijken.
2.5. Opleiden van relevant personeel
Het Europees IT-certificeringsinstituut zal training geven aan het personeel dat verantwoordelijk is voor het afhandelen van verzoeken om rechten van betrokkenen, om ervoor te zorgen dat zij bekend zijn met de relevante wetgeving inzake gegevensbescherming en de procedures van het Europees IT-certificeringsinstituut voor het afhandelen van dergelijke verzoeken.
2.6. Bewaken en reviewen van het proces
Het European IT Certification Institute controleert en beoordeelt regelmatig het proces voor het afhandelen van verzoeken om rechten van betrokkenen om ervoor te zorgen dat het effectief blijft en voldoet aan de relevante wetgeving inzake gegevensbescherming. Eventuele problemen of incidenten worden tijdig gemeld en aangepakt.
Deel 3. Een functionaris voor gegevensbescherming (FG) aanwijzen
Het European IT Certification Institute wijst een DPO aan die verantwoordelijk is voor het toezicht op het beheer van verzoeken om rechten van betrokkenen, inclusief de beoordeling van verzoeken, het beantwoorden van verzoeken en het waarborgen van de naleving van de regelgeving inzake gegevensbescherming.
3.1. Aanwijzen van de DPO
Het European IT Certification Institute wijst een functionaris voor gegevensbescherming (DPO) aan om toezicht te houden op het beheer van verzoeken om rechten van betrokkenen en om te zorgen voor naleving van de regelgeving inzake gegevensbescherming. De DPO zal verantwoordelijk zijn voor het beoordelen van verzoeken en ervoor zorgen dat het European IT Certification Institute voldoet aan zijn wettelijke verplichtingen met betrekking tot gegevensbescherming.
3.2. De competentievereisten van de DPO
De functionaris voor gegevensbescherming moet deskundige kennis hebben van wetten en praktijken inzake gegevensbescherming en de nodige middelen krijgen om zijn verantwoordelijkheden te vervullen. Ze moeten directe toegang hebben tot het senior management en rapporteren aan het hoogste managementniveau van de organisatie.
3.3. Verantwoordelijkheden van de DPO
De verantwoordelijkheden van de DPO omvatten, maar zijn niet beperkt tot, het volgende:
- Leiding en advies geven aan het European IT Certification Institute over gegevensbeschermingskwesties, inclusief het beheer van verzoeken om rechten van betrokkenen.
- Toezicht houden op de naleving door het Europees IT-certificeringsinstituut van de voorschriften voor gegevensbescherming en het interne beleid en de procedures.
- Reageren op vragen en klachten van betrokkenen met betrekking tot hun rechten op grond van de regelgeving inzake gegevensbescherming.
- Coördineren met andere afdelingen om ervoor te zorgen dat aan de vereisten voor gegevensbescherming in de hele organisatie wordt voldaan.
- Het uitvoeren van periodieke beoordelingen en beoordelingen van de gegevensbeschermingspraktijken van het European IT Certification Institute en het doen van aanbevelingen voor verbetering.
- Fungeren als aanspreekpunt voor gegevensbeschermingsautoriteiten en met hen samenwerken in het geval van een onderzoek of audit.
- De DPO is ook betrokken bij de ontwikkeling en implementatie van het beleid en de procedures van het European IT Certification Institute met betrekking tot gegevensbescherming, inclusief die met betrekking tot het behandelen van verzoeken om rechten van betrokkenen.
3.4. DPO's ontwikkeling van training en kwalificaties
Het Europees IT-certificeringsinstituut moet ervoor zorgen dat de functionaris voor gegevensbescherming voldoende is opgeleid op het gebied van gegevensbeschermingsregelgeving en op de hoogte wordt gehouden van eventuele wijzigingen of updates van deze regelgeving.
3.5. Contactgegevens van de DPO
De contactgegevens van de DPO moeten beschikbaar worden gesteld aan de betrokkenen en worden opgenomen in de privacyverklaring of het privacybeleid van het Europees IT-certificeringsinstituut.
Deel 4. Bijhouden van een actueel register van persoonsgegevens
Het European IT Certification Institute houdt een actueel register bij van de persoonsgegevens die het bezit en de doeleinden waarvoor deze worden verwerkt. Hierdoor kan het European IT Certification Institute snel en nauwkeurig reageren op verzoeken om rechten van betrokkenen.
4.1. Het opzetten van een proces voor het identificeren en vastleggen van persoonsgegevens
Het European IT Certification Institute stelt een duidelijk en gestandaardiseerd proces vast voor het identificeren en vastleggen van persoonsgegevens, waaronder de naam van de betrokkene, contactgegevens en andere relevante informatie. Dit proces zorgt ervoor dat persoonlijke gegevens alleen voor specifieke en legitieme doeleinden worden verzameld.
4.2. Categoriseren van persoonsgegevens
Het European IT Certification Institute categoriseert persoonlijke gegevens om het volgen en beheren te vergemakkelijken. Dit omvat het categoriseren van gegevens op type, zoals contactgegevens, factuurgegevens, competenties en kwalificaties, financiële gegevens of arbeidsverleden.
4.3. Implementeren van een datamanagementsysteem
Het European IT Certification Institute implementeert een gegevensbeheersysteem om ervoor te zorgen dat persoonlijke gegevens nauwkeurig, up-to-date en toegankelijk zijn. Het gegevensbeheersysteem bevat een database die kan worden doorzocht en bevraagd om te helpen reageren op verzoeken om rechten van betrokkenen.
4.4. Het toewijzen van de verantwoordelijkheid voor het bijhouden van het register van persoonsgegevens
Het Europees IT-certificeringsinstituut moet de verantwoordelijkheid voor het bijhouden van het register van persoonsgegevens toewijzen aan specifieke personen of afdelingen. Dit zorgt ervoor dat het dossier up-to-date en nauwkeurig blijft.
4.5. Het regelmatig controleren en actualiseren van het register van persoonsgegevens
Het Europees Instituut voor IT-certificering moet regelmatig het register van persoonsgegevens herzien en bijwerken om ervoor te zorgen dat het accuraat en up-to-date blijft. Dit kan door middel van periodieke audits of door middel van een continu monitoringproces.
4.6. Implementeer passende beveiligingsmaatregelen
Het European IT Certification Institute implementeert passende beveiligingsmaatregelen om de persoonlijke gegevens die het bewaart te beschermen, inclusief maatregelen om ongeoorloofde toegang, onopzettelijk verlies of vernietiging van persoonlijke gegevens te voorkomen, als onderdeel van het informatiebeveiligingsbeleid (ISP) van de organisatie. Dit omvat oa encryptie, firewalls en toegangscontroles. Een gedetailleerde specificatie van de processen en maatregelen voor gegevensbescherming wordt gedekt door het informatiebeveiligingsbeleid van het speciale Europese IT-certificeringsinstituut.
Deel 5. Duidelijke en beknopte informatie verstrekken aan betrokkenen
Bij het verzamelen van persoonsgegevens verstrekt het European IT Certification Institute duidelijke en beknopte informatie aan betrokkenen over hun rechten, waaronder het recht op toegang tot, rectificatie, wissen van en bezwaar tegen de verwerking van hun persoonsgegevens.
5.1. Transparantie
Het European IT Certification Institute is transparant in de verwerking van persoonsgegevens en geeft betrokkenen beknopte informatie over hoe hun gegevens worden gebruikt, verwerkt en opgeslagen.
5.2. Privacy Policy
Het European IT Certification Institute heeft een gedetailleerd privacybeleid waarin de gegevensverwerkingsactiviteiten worden beschreven, inclusief hoe betrokkenen hun rechten als betrokkenen kunnen uitoefenen.
5.3. Recht op toegang
Betrokkenen hebben het recht om toegang te vragen tot de persoonsgegevens die het European IT Certification Institute over hen bewaart. Het Europees IT-certificeringsinstituut geeft betrokkenen duidelijke en beknopte informatie over hoe ze een verzoek om toegang kunnen indienen, welke informatie nodig is om hun identiteit te verifiëren en hoe lang het Europees IT-certificeringsinstituut nodig heeft om op het verzoek te reageren.
5.4. Recht op rectificatie
Betrokkenen hebben het recht om te verzoeken dat het European IT Certification Institute eventuele onjuiste of onvolledige persoonsgegevens die het over hen bewaart, rectificeert. Het Europees IT-certificeringsinstituut geeft betrokkenen duidelijke en beknopte informatie over hoe ze een verzoek tot rectificatie kunnen indienen, welke informatie nodig is om hun identiteit te verifiëren en hoe lang het Europees IT-certificeringsinstituut nodig heeft om op het verzoek te reageren.
5.5. Recht om te wissen
Betrokkenen hebben het recht om te verzoeken dat het European IT Certification Institute in bepaalde omstandigheden hun persoonsgegevens verwijdert. Het Europees IT-certificeringsinstituut geeft betrokkenen duidelijke en beknopte informatie over hoe ze een verzoek tot verwijdering kunnen indienen, welke informatie nodig is om hun identiteit te verifiëren en hoe lang het duurt voordat het Europees IT-certificeringsinstituut op het verzoek reageert.
5.6. Recht van bezwaar
Betrokkenen hebben in bepaalde omstandigheden het recht om bezwaar te maken tegen de verwerking van hun persoonsgegevens. Het Europees IT-certificeringsinstituut verstrekt duidelijke en beknopte informatie aan betrokkenen over hoe ze een verzoek tot bezwaar kunnen indienen, welke informatie nodig is om hun identiteit te verifiëren en hoe lang het Europees IT-certificeringsinstituut nodig heeft om op het verzoek te reageren.
5.7. Contactinformatie
Het European IT Certification Institute biedt duidelijke en beknopte contactgegevens die betrokkenen kunnen gebruiken als ze vragen of zorgen hebben over hoe hun persoonlijke gegevens worden verwerkt.
Deel 6. Vaststellen van een standaard responstijd
Het European IT Certification Institute heeft een standaard responstijd vastgesteld voor verzoeken om rechten van betrokkenen en zorgt ervoor dat op verzoeken binnen deze termijn wordt gereageerd.
6.1. Standaard responstijd
Het European IT Certification Institute stelt een standaard responstijd van 30 dagen vast voor verzoeken om rechten van betrokkenen. De standaard responstijd definieert een maximale tijdslimiet voor verwerking en respons en de meeste verzoeken worden binnen een kortere tijd verwerkt en beantwoord.
6.2. Vraag ontvangstbevestigingstijd aan
Na ontvangst van een verzoek om rechten van een betrokkene, zal de functionaris voor gegevensbescherming of andere personeelsleden de ontvangst van het verzoek binnen 5 werkdagen bevestigen en de betrokkene een geschat tijdsbestek geven voor het geven van een antwoord.
6.3. Uitzonderlijke verlengingen van de standaard responstijd
Het European IT Certification Institute zal redelijke inspanningen leveren om te reageren op verzoeken om rechten van betrokkenen binnen de vastgestelde standaard responstijd. Als het verzoek echter complex is of als het Europees IT-certificeringsinstituut een groot aantal verzoeken ontvangt, kan de responstijd worden verlengd. In dergelijke gevallen zal de DPO de betrokkene informeren over de verlenging en de reden voor de vertraging.
6.4. Weigering om te voldoen aan een verzoek om rechten van betrokkenen
Als het Europees IT-certificeringsinstituut niet in staat is om aan een verzoek om rechten van een betrokkene te voldoen, zal het de betrokkene een verklaring voor de weigering geven en hem informeren over zijn recht om een klacht in te dienen bij de relevante toezichthoudende autoriteit.
6.5. Registraties van verzoeken en reacties op de rechten van betrokkenen
Het Europees IT-certificeringsinstituut houdt een nauwkeurig register bij van de verzoeken en reacties op de rechten van betrokkenen, met inbegrip van de datum van ontvangst van het verzoek, de aard van het verzoek en de datum en wijze van het antwoord.
6.6. Periodieke beoordelingen
De DPO zal periodiek de reactietijden van het Europees IT-certificeringsinstituut beoordelen en indien nodig bijwerken om naleving van de toepasselijke regelgeving inzake gegevensbescherming te waarborgen.
Deel 7. Verificatie van de identiteit van de betrokkene
7.1. Identiteitsverificatievereiste
Het European IT Certification Institute moet de identiteit verifiëren van de betrokkene die het verzoek doet om ervoor te zorgen dat de persoonsgegevens alleen aan de juiste persoon worden verstrekt.
7.2. Middelen en methoden voor identiteitsverificatie
Wanneer een betrokkene een verzoek indient om zijn rechten uit hoofde van de wetgeving inzake gegevensbescherming uit te oefenen, moet het Europees IT-certificeringsinstituut de identiteit van de betrokkene verifiëren met behulp van passende maatregelen, zoals het opvragen van identificatiedocumenten.
7.3. Identiteitsverificatie van een volmachtdrager
Als de betrokkene het verzoek doet namens iemand anders, moet het European IT Certification Institute de identiteit verifiëren van zowel de betrokkene als de persoon namens wie het verzoek wordt gedaan.
7.4. Twijfels over identiteitsverificatie
Als het Europees IT-certificeringsinstituut twijfels heeft over de identiteit van de betrokkene of de geldigheid van het verzoek, kan het aanvullende informatie vragen of andere passende maatregelen nemen om de identiteit van de betrokkene te verifiëren.
7.5. Records voor identiteitsverificatie
Het Europees IT-certificeringsinstituut dient een register bij te houden van het verificatieproces en de maatregelen die zijn genomen om de identiteit van de betrokkene te verifiëren. Dit register moet gedurende een redelijke periode worden bewaard en moet worden gebruikt om naleving van de wetgeving inzake gegevensbescherming aan te tonen.
Deel 8. Onmiddellijk reageren op verzoeken om rechten van betrokkenen
8.1. Snelle reactie
Het European IT Certification Institute reageert onmiddellijk op verzoeken om rechten van betrokkenen en verstrekt de betrokkene de gevraagde informatie.
8.2. Ontvangstbevestiging aanvragen
Het European IT Certification Institute bevestigt de ontvangst van het verzoek van de betrokkene zo snel mogelijk, bij voorkeur binnen 5 werkdagen.
8.3. Vraag beoordeling aan
De aangewezen functionaris voor gegevensbescherming moet het verzoek beoordelen om er zeker van te zijn dat het aan de nodige vereisten voldoet en dat alle nodige informatie is verstrekt.
8.4. Verificatie van de identiteit van de betrokkene
Het European IT Certification Institute verifieert de identiteit van de betrokkene die het verzoek doet om ervoor te zorgen dat de persoonsgegevens alleen aan de juiste persoon worden verstrekt.
8.5. Inwinnen van aanvullende informatie indien nodig
Als het verzoek onduidelijk of onvoldoende is, dient het Europees IT-certificeringsinstituut contact op te nemen met de betrokkene om aanvullende informatie te verkrijgen.
8.5. Het ophalen van de relevante gegevens
Het European IT Certification Institute haalt de relevante persoonsgegevens op en controleert deze om ervoor te zorgen dat ze juist en up-to-date zijn.
8.6. Het verstrekken van de gevraagde informatie
Het European IT Certification Institute verstrekt de betrokkene de gevraagde informatie, inclusief een kopie van zijn persoonsgegevens in een algemeen gebruikt elektronisch formaat, tenzij anders gevraagd.
8.7. Informeer de betrokkene over zijn rechten
Het European IT Certification Institute informeert de betrokkene over zijn andere rechten, zoals het recht om zijn persoonsgegevens te rectificeren of te wissen, en geeft hem de nodige instructies.
8.8. Voldoen aan de responstijd
Het European IT Certification Institute reageert op verzoeken om rechten van betrokkenen binnen de vastgestelde responstijd en zorgt ervoor dat de nodige actie wordt ondernomen om aan het verzoek te voldoen.
8.9. Het documenteren van de reactie
Het Europees IT-certificeringsinstituut documenteert het antwoord op het verzoek om rechten van betrokkenen, inclusief alle ondernomen acties en de responstijd, om ervoor te zorgen dat het kan worden gecontroleerd en gevolgd voor nalevingsdoeleinden.
8.10. Het informeren van de betrokkene over eventuele wijzigingen
Als er wijzigingen worden aangebracht in de persoonsgegevens van de betrokkene als gevolg van hun verzoek, stelt het Europees IT-certificeringsinstituut de betrokkene op de hoogte van deze wijzigingen.
Deel 9. Documenteren van verzoeken om rechten van betrokkenen
Het European IT Certification Institute houdt een register bij van verzoeken om rechten van betrokkenen, inclusief de datum van het verzoek, de aard van het verzoek en het antwoord op het verzoek. Het documenteren van verzoeken om rechten van betrokkenen omvat de volgende aspecten:
9.1. Bijhouden van een register
Het European IT Certification Institute houdt een register bij waarin alle ontvangen verzoeken om rechten van betrokkenen zijn vastgelegd. Dit register moet de volgende gegevens vastleggen:
- Datum van de aanvraag
- Naam en contactgegevens van de betrokkene
- Beschrijving van het verzoek
- Actie ondernomen naar aanleiding van het verzoek
- Eventuele aanvullende informatie die nodig is om het verzoek te verwerken
9.2. Gestandaardiseerd proces voor documentatie
Het European IT Certification Institute voert een gestandaardiseerd proces uit voor het documenteren van verzoeken om rechten van betrokkenen om consistentie en nauwkeurigheid in de vastgelegde informatie te waarborgen.
9.3. Bewaartermijn
Het European IT Certification Institute bewaart deze gegevens gedurende een redelijke periode, zoals bepaald door toepasselijke wet- en regelgeving, maar niet korter dan 2 jaar.
9.4. Behoud van vertrouwelijkheid
Het European IT Certification Institute zorgt ervoor dat de registers van verzoeken om rechten van betrokkenen alleen toegankelijk zijn voor geautoriseerd personeel dat toegang tot dergelijke informatie nodig heeft bij het uitvoeren van hun taken. Het implementeert ook technische en organisatorische maatregelen om ongeoorloofde toegang, openbaarmaking, wijziging of vernietiging van persoonlijke gegevens in de registers van verzoeken om rechten van betrokkenen te voorkomen.
9.5. Rapportage
Het European IT Certification Institute genereert periodiek rapporten over ontvangen, verwerkte en uitstaande verzoeken om rechten van betrokkenen. Deze rapporten worden gedeeld met relevante belanghebbenden, waaronder het senior management en de DPO.
9.6. Analytics
Het European IT Certification Institute voert trendanalyses uit op verzoeken om rechten van betrokkenen om patronen en hoofdoorzaken van verzoeken te identificeren. Deze informatie wordt gebruikt om processen en procedures te verbeteren om dergelijke verzoeken beter te kunnen beheren.
Deel 10. Bewaken en beoordelen van het proces
Het European IT Certification Institute controleert en evalueert regelmatig zijn proces voor het afhandelen van verzoeken om rechten van betrokkenen om ervoor te zorgen dat het effectief blijft en voldoet aan de AVG.
10.1. Uitvoeren van periodieke reviews
Het European IT Certification Institute voert periodieke beoordelingen uit van het verwerkingsproces voor verzoeken om rechten van betrokkenen en het AVG-nalevingsbeleid om ervoor te zorgen dat het effectief is en voldoet aan de regelgeving inzake gegevensbescherming. Deze beoordelingen omvatten een analyse van het aantal en het type ontvangen verzoeken, de tijdigheid en effectiviteit van de reacties en eventuele verbeterpunten.
10.2. Implementatie van verbeteringen
Op basis van de bevindingen van de beoordelingen implementeert het European IT Certification Institute de nodige verbeteringen in het proces voor de behandeling van verzoeken om rechten van betrokkenen. Dit kan bestaan uit updates van procedures, aanvullende training voor personeel of wijzigingen in de manier waarop verzoeken worden geverifieerd en waarop wordt gereageerd.
10.3. Zorgen voor voortdurende naleving
Het European IT Certification Institute zorgt voor voortdurende naleving van de regelgeving inzake gegevensbescherming door regelmatig zijn beleid en procedures te herzien en bij te werken in overeenstemming met eventuele wijzigingen in relevante wet- en regelgeving.
10.4. Bewaken van de prestaties van het personeel
Het European IT Certification Institute houdt toezicht op de prestaties van het personeel met betrekking tot het afhandelen van verzoeken om rechten van betrokkenen, inclusief de kwaliteit en tijdigheid van de antwoorden. Dit kan periodieke training en prestatiebeoordelingen omvatten om ervoor te zorgen dat het personeel deskundig en bekwaam is op dit gebied.
10.5. Communiceren met betrokkenen
Het European IT Certification Institute communiceert met de betrokkenen tijdens het verwerkingsproces van verzoeken om ervoor te zorgen dat ze op de hoogte worden gehouden van de voortgang en alle relevante informatie. Dit kan het verstrekken van updates over de status van hun verzoek inhouden of indien nodig om aanvullende informatie vragen.
10.6. Administratie bijhouden
Het European IT Certification Institute houdt verslagen bij van zijn beoordelingen, inclusief alle wijzigingen die zijn aangebracht in het verwerkingsproces van verzoeken om rechten van betrokkenen, evenals alle feedback die is ontvangen van betrokkenen. Deze informatie kan worden gebruikt ter ondersteuning van voortdurende nalevingsinspanningen en om gebieden voor verdere verbetering te identificeren.
Deel 11. Vaststellen van het register van verwerkingsactiviteiten
Het European IT Certification Institute houdt het register van verwerkingsactiviteiten bij, een document dat de verwerking van persoonsgegevens door de organisatie beschrijft. Het is vereist onder de Algemene Verordening Gegevensbescherming (AVG) van de EU en is bedoeld om het begrip van gegevensverwerkingsactiviteiten te ondersteunen en naleving van de AVG aan te tonen.
11.1. ROPA-structuur
De ROPA bevat basisinformatie over de naam en contactgegevens van de organisatie, de doeleinden van de gegevensverwerking, de categorieën van verwerkte persoonsgegevens, de ontvangers van de persoonsgegevens en de bewaartermijnen van de persoonsgegevens. Het bevat ook informatie over eventuele externe verwerkers die namens de organisatie persoonsgegevens verwerken.
11.2. ROPA regelmatige updates
De ROPA wordt regelmatig bijgewerkt en is een levend document dat veranderingen weerspiegelt in de gegevensverwerkingsactiviteiten van het Europees IT-certificeringsinstituut ter ondersteuning van het opbouwen van vertrouwen bij betrokkenen.
Het European IT Certification Institute zet zich in voor het handhaven van de hoogste normen met betrekking tot het beheer van verzoeken om rechten van betrokkenen en het algemene beleid inzake gegevensbescherming, en zorgt ervoor dat wordt voldaan aan alle toepasselijke wet- en regelgeving met betrekking tot deze kwesties, evenals aan toonaangevende industrienormen en best practices, waaronder het ISO 27701 Privacy Information Management System.