Organisaties moeten:

  • alle verwerkingsactiviteiten met persoonsgegevens registreren en datalekken registreren.
  • een gegevensbeschermingseffectboordeling (Data protection impact assessment; DPIA) uitvoeren bij nieuwe verwerkingsactiviteiten met een hoog privacy risico.
  • Voldoen aan passende waarborgen bij internationaal dataverkeer.
  • Gegevensbescherming doorvoeren via ontwerp en standaardinstellingen van (web)applicaties (privacy by design & default).
  • Zorgen voor een passende beveiliging en opslagbeperking (dataminimalisatie).
  • Verantwoordelijkheid dragen voor afdoende garanties voor beveiliging en voor verwerkingsactiviteiten bij verwerkers.
  • Persoonsgegevens rechtmatig en behoorlijk verzamelen en indien nodig zorgen voor een eenduidige toestemming over het doel van de gegevensverwerking. Het doel moet vooraf bepaald zijn, transparant  en goed zijn omschreven.
  • een FG/ DPO aanwijzen wanneer er op grote schaal, of bijzondere persoonsgegevens worden verwerkt.
  • Toestemming krijgen van ouders voor verwerking van persoonsgegevens van kinderen onder de 16 jaar.
  • De AP Raadplegen voorafgaande aan (privacy gevoelige) verwerkingen.
  • Zorgen voor bewustwording over privacy onder personeel.
  • Een datalek melden bij de AP en zo nodig de betrokkene informeren.
  • Aantoonbaar compliant zijn voor de wet.