Elke organisatie moet compliance met de AVG kunnen aantonen.

Eén van de eisen vanuit de AVG is het bijhouden van een register van verwerkingen (artikel 30).

Dit register dient informatie te bevatten over alle manieren waarop uw organisatie persoonsgegevens opslaat en gebruikt.

Een verwerkersovereenkomst regelt de verantwoordelijkheden bij de verwerking van persoonsgegevens als een bedrijf voor de verwerking een ander bedrijf inschakelt.

Als een organisatie persoonsgegevens laat verwerken door een andere rechtspersoon, is altijd een verwerkersovereenkomst tussen beide verplicht. Dit geldt ook als de verwerker een dochteronderneming van het verantwoordelijke bedrijf is, of in het buitenland gevestigd is.

Het woord "verwerken" moet hierbij breed worden geïnterpreteerd. In feite moet u een verwerkersovereenkomst sluiten met elke partij of persoon (verwerker), die om welke reden dan ook toegang heeft tot privacygevoelige gegevens, waar u verantwoordelijk voor bent (verwerkingsverantwoordelijke).

U bent wettelijk verplicht uw klanten, bezoekers en werknemers, duidelijk te informeren over welke privacygevoelige gegevens u verzamelt en met welk doel, ook als dat doel alleen maar is het vastleggen van hun gegevens in uw klantenbestand.

Dit informeren kunt u het beste doen via een privacyverklaring, die u duidelijk publiceert.

U gaat zorgvuldig en vertrouwelijk met persoonsgegevens om. In de privacyverklaring staat uitgelegd hoe u dit doet.

Een functionaris gegevensbescherming (ook wel: data protection officer of data privacy officer) is iemand die binnen een bedrijf of organisatie verantwoordelijk is voor naleving van de regelgeving die voortvloeit uit de Algemene Verordening Gegevensbescherming (AVG).

Overheden en andere publieke organisaties zijn verplicht een functionaris voor de gegevensbescherming aan te stellen.

Ook organisaties en bedrijven die op grote schaal persoonsgegevens verwerken, moeten een functionaris gegevensbescherming hebben. Denk aan organisaties die individuele personen of hun activiteiten volgen via bijvoorbeeld cameratoezicht of persoonvolgsystemen.

Tenslotte zijn organisaties die op grote schaal bijzondere persoonsgegevens (bijvoorbeeld informatie over iemands gezondheid, politieke opvatting of ras) verwerken, verplicht een functionaris gegevensbescherming te benoemen.

De Europese privacytoezichthouders hebben in april 2017 de (definitieve) Guidelines on Data Protection Officers gepubliceerd die meer uitleg geven over de FG. Er is ook een officiële Nederlandse vertaling van de guidelines FG beschikbaar.