• No results found

Privacy compliant contracteren

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "Privacy compliant contracteren"

Copied!
2
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 2 pagina )

Hele tekst

(1)

Naam Gert Walhof

Functie zelfstandig inkoopadviseur Ook kennispartner E-proQure en

lector aan de Hanzehogeschool Groningen

Naam Robert Grandia Functie advocaat Organisatie Legalz

Ook docent ICT-contractenrecht

en bestuurslid van de NBCM

PRIVACY

COMPLIANT

CONTRACTEREN

Op 25 mei 2018 moet bij organisaties de

ingrijpend gewijzigde privacywet geving

geïmplementeerd zijn. Veel contracten

met leveranciers omvatten de

verwer-king van persoonsgegevens.

Inkoopadvi-seur Gert Walhof en jurist Robert

Gran-dia presenteren een stappenplan om op

tijd klaar te zijn voor de nieuwe regels.

nderzoek toont aan dat veel organisa-ties nog niet klaar zijn voor de komst van de AVG, de Algemene Verordening Gegevensbescherming (zie kader). Uit een rondvraag in juni 2017 van MKB Ser-vicedesk onder ondernemers bleek dat ruim 60 procent van de ondervraagden niet bekend is met de AVG, laat staan dat zij bezig zijn met de implementatie. Voor inkopers begint de privacywetge-ving primair bij alle goederen en diensten van leveranciers waar-bij persoonsgegevens worden verwerkt. In het huidige tijdperk is informatietechnologie alom aanwezig en als ICT de motor is, dan is verwerking van data – waaronder persoonsgegevens – de brandstof. Enkele voorbeelden van contracten waarbij de uitwis-seling van persoonsgegevens een rol speelt:

• de salarisadministratie die is uitbesteed aan een leverancier; • het CRM-systeem in de cloud van een softwareleverancier;

• de vernietiging van dossiers uit het archief door een externe partij;

• de promotiecampagne waarbij klantgegevens worden gedeeld met het reclamebureau; • het verzamelen en analyseren van big data door

externe consultants.

Stappenplan

Een risicoanalyse leert dat afwachten geen optie is. Zeker niet gezien de forse boetes die op grond van de AVG kunnen worden opgelegd. Met het volgende stappenplan maak je een vliegende start.

1. Awareness en implementatie organisatiebreed Begin binnen de organisatie met informeren naar de bekendheid van de AVG bekend en of al wordt ge-werkt aan een plan van aanpak en de daarbij beho-rende implementatie. Je wil dan als inkoper natuurlijk vooral weten of in dit plan ook aandacht is voor de verwerking van persoonsgegevens door leveranciers in opdracht van je organisatie. Wordt nog niet aan een plan gewerkt, adviseer de directie dan om hier snel mee te beginnen. Zelf draag je bij door het uit-voeren van deze stappen.

32 | Deal! | OKTOBER 2017 | From Experts |

CHECKLIST

VERWERKINGSOVEREENKOMST

• Onderwerp, duur, aard en doel van de ver-werking van persoonsgegevens

• Soort persoonsgegevens en categorieën van betrokkenen

• Uitsluitend verwerking op basis van schrifte-lijke instructies van de verwerkingsverant-woordelijke

• Gemachtigde personen gebonden vertrouwe-lijkheid (wettelijk of contractueel) in acht te nemen

• Verwerker neemt de vereiste technische en organisatorische maatregelen

• Geen andere (sub)verwerker in dienst zonder voorafgaande toestemming van de gegevens-verantwoordelijke en als dat gebeurt dan te-gen dezelfde verplichtinte-gen als die in de overeenkomst tussen de verwerkingsverant-woordelijke en de verwerker zijn opgenomen (“doorzetverplichting”)

• Verwerker verleent bijstand bij verzoeken van betrokkenen om uitoefening van hun rechten • Verwerker verleent bijstand bij nakoming ver-plichtingen ter zake onder andere inbreuk be-veiliging/meldingen datalekken

• Na afloop van de verwerkingsdiensten wissen of vernietigen persoonsgegevens, tenzij op-slag verplicht is

• Verwerker stelt alle informatie ter beschik-king die nodig is om nakoming verplichtingen aan te tonen en audits mogelijk te maken.

(2)

DE AVG IN EEN NOTENDOP

De Algemene Verordening Gegevensbescherming (AVG) ver-vangt per 25 mei 2018 de Wet bescherming persoonsgege-vens. De Verordening geldt rechtstreeks in alle EU-lidstaten.

Persoonsgegevens van een betrokkene

Als persoonsgegeven geldt alle informatie over een geïden-tificeerde of identificeerbare natuurlijke persoon (“de be-trokkene”). Denk aan naam, adres en BSN maar ook aan (zwaarder beschermde) bijzondere persoonsgegevens zoals ras, etnische afkomst, religie, of seksuele gerichtheid.

Verwerking

Centraal in de AVG staat het begrip “verwerking”: het ver-zamelen, vastleggen, opslaan, raadplegen, wijzigen, gebrui-ken, verstrekken of vernietigen van persoonsgegevens.

Verwerkingsverantwoordelijke, verwerker en subverwerker

De “verwerkingsverantwoordelijke” is degene die het doel van en de middelen voor de verwerking van persoonsgege-vens vaststelt. De “verwerker” verwerkt persoonsgegepersoonsgege-vens ten behoeve van de verwerkingsverantwoordelijke. Indien deze werkzaamheden (deels) laat verrichten door een derde, dan spreken we over een subverwerker.

Verwerkersovereenkomst

Gegevensverantwoordelijke en verwerker moeten een ver-werkersovereenkomst afsluiten waarin de afspraken over de omgang met persoonsgegevens schriftelijk vastliggen.

Beveiliging

De verwerkingsverantwoordelijke dient passende techni-sche en organisatoritechni-sche maatregelen te treffen om te waarborgen en aan te tonen dat de verwerking plaatsvindt in overeenstemming met de AVG.

Meldplicht datalekken

Onder de AVG geldt dat, in aanvulling op de bestaande meldingsplichten, alle datalekken intern gedocumenteerd moeten worden, ook wanneer geen meldingsplicht bestaat.

Boetes

De AVG introduceert een boetestelsel dat grote impact kan hebben. Boetes worden opgelegd door de Autoriteit Persoonsgegevens en kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Veel organisaties zijn nog niet voorbereid op de nieuwe wetge-ving, ondanks de te verwachten impact die de AVG zal hebben. Daarbij is goed om je te realiseren dat de inventarisatie van de gevolgen, het ontwikkelen van een aanpak en implementatie hiervan deskundigheid, tijd en doorlooptijd vragen. Gelukkig is er nog tijd, ook als je nog moet beginnen. Maar wacht dan ook niet langer en doe het vandaag nog.

| Deal! | OKTOBER 2017 | 33

2. Inventarisatie inkoopcontracten

De tweede stap is een inventarisatie. In welke con-tracten met leveranciers speelt de verwerking van persoonsgegevens? Denk daarbij ook aan de leveran-ciers van contracten waar jij of je inkoopcollega’s niet bij betrokken waren toen ze werden afgesloten en die niet direct in de contractadministratie zichtbaar zijn. Realiseer je ook dat in contracten niet altijd het ant-woord op deze vraag te vinden zal zijn. Tot de inven-tarisatie behoort ook de toets of deze contracten vóór 25 mei 2018 aflopen. In dat geval kun je de ge-volgen van de AVG meenemen in de tender voor het nieuwe contract. Per contract inventariseer je om welke verwerking van welke persoonsgegevens het gaat en welke afspraken al gemaakt zijn over de be-scherming van persoonsgegevens.

3. Maatregelen per contract

Vervolgens bepaal je per contract welke afspraken in de verwerkingsovereenkomst op basis van de AVG gemaakt moeten worden met de leverancier. Ben je zelf geen specialist als het gaat om de AVG, zorg dan voor juridische ondersteuning bij het op-stellen van deze afspraken. Een greep uit de vragen die voorliggen:

• Is een (verplichte) verwerkersovereenkomst ge-sloten en zo ja, voldoet deze aan de nieuwe eisen die worden gesteld door de AVG? (zie ook kader Checklist verwerkersovereenkomst)

• Heeft de gecontracteerde leverancier mogelijk delen van de verwerking van persoonsgegevens uitbesteed aan zijn leveranciers (subverwerkers)? En welke subverwerkers betreft het dan en wat heeft je leverancier daarmee afgesproken? • Welke beveiligingsmaatregelen worden getroffen

door de leverancier, de subverwerker(s) en door je eigen organisatie?

• Is sprake van gegevensverwerking in niet-EU-lan-den, bijvoorbeeld als data wordt opgeslagen op servers in de Verenigde Staten?

Dergelijke vragen kunnen worden beantwoord aan de hand van een zogenoemde Privacy Impact As-sessment (PIA). De PIA is een middel om de effec-ten van de beoogde verwerking te beoordelen. Een handreiking en vragenlijst voor het uitvoeren van een PIA is bijvoorbeeld te vinden op de website van de beroepsorganisatie van IT-auditors: www.norea. nl/handreikingen.

Vandaag nog beginnen

Nadat de nodige maatregelen zijn vastgesteld, volgt uiteraard het bereiken van overeenstemming met de betreffende leverancier, het vastleggen van afspraken in de verwerkersovereenkomst, het actu-eel maken van het contract en het bijwerken van de contractadministratie. Daarnaast zul je mogelijk op basis van het plan implementatie AVG in je organi-satie nog verdere acties moeten ondernemen.

Referenties

Download het nu ( PDF - 2 pagina - 94.20 KB )

GERELATEERDE DOCUMENTEN

In deze privacyverklaring legt Snethlage Privacy Consultancy uit waarom en op welke manier persoonsgegevens worden verwerkt.

Snethlage Privacy Consultancy bewaart uw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld.. SPC hanteert de

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Loopgroep Ruinen bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op grond van de wet is

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Uw persoonsgegevens worden door youCANbe - Centrum Aandacht Nissewaard opgeslagen ten behoeve van bovengenoemde verwerking(en) voor de periode:.. - Gedurende de looptijd

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Psychotherapie Van der Laan bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op grond van de wet is vereist (15

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn voor de doeleinden waarvoor ze worden verwerkt;

Uw persoonsgegevens worden door Elise Lentjes mantelzorgmakelaar opgeslagen ten behoeve van bovengenoemde verwerking(en) voor de periode:.. - Gedurende de loop@jd van de

Introductie Sigma Personeelsdiensten als verwerker Privacy Officer Welke persoonsgegevens verwerken wij?

Sigma Personeelsdiensten verwerkt ook persoonsgegevens als wij hier wettelijk toe verplicht zijn, zoals gegevens die wij nodig hebben voor onze belastingaangifte en controle van onze

Privacyverklaring. Welke persoonsgegevens. Bewaartermijn Ontvangers

Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, of indien u meer informatie wenst over de beveiliging van door

- Verwerking van uw persoonsgegevens beperkt is tot enkel die gegevens welke minimaal nodig zijn

sv DFS bewaart persoonsgegevens niet langer dan noodzakelijk voor het doel waarvoor deze zijn verstrekt dan wel op grond van de wet is