AVG to do list ná de nulmeting: Sluit de juiste verwerkersovereenkomsten

Gemakshalve ga ik ervan uit dat u mijn vorige privacy #1 blog heeft gelezen. U weet dus dat de start van iedere MKB onderneming om AVG privacy proof te worden voor 25 mei 2018 altijd start met een AVG privacy nulmeting. U weet ook wat de AVG inhoudt en waarom het belangrijk is om conform deze Europese privacywet privacy verantwoord te ondernemen. 

Stap 1 in de nulmeting: Wat is onze juridische positie binnen de AVG?

In de nulmeting eindrapportage wordt ten eerste vastgelegd welke juridische rol uw bedrijf inneemt binnen de kaders van de AVG wetgeving om de persoonsgegevens te beschermen. Zodoende kunnen ook de specifieke plichten die bij die rol horen, worden gecheckt en afgevinkt. Is uw bedrijf verantwoordelijke (controller in het Engels) voor de verwerking van de persoonsgegevens of is uw bedrijf slechts de verwerker (processor in het Engels), of is uw bedrijf beiden? Of is uw bedrijfs zelfs de subverwerker (sub processor)?

Voorbeeld #1: Uw organisatie is een cateringbedrijf en u legt de persoonsgegevens van al uw personeel vast in een arbeidsovereenkomst, in het personeelsdossier en in de loonadministratie. Dan bent u de verantwoordelijke. Als u deze persoonsgegevens vervolgens doorgeeft aan een externe salarisadministrateur, dan is dit kantoor “de verwerker.” Stel dit kantoor voert weer die salarisadministratie uit met behulp van een extern gehost (Saas) HRM softwarepakket, dan is die softwareleverancier weer een “subverwerker”.

Het basisprincipe van de verantwoordelijke is: U bent verantwoordelijk voor persoonsgegevens dus zult u zicht moeten hebben op wat er gebeurt met die gegevens.

Ook wanneer die gegevens doorgespeeld worden aan een derde om deze slechts te verwerken. Je hebt als verantwoordelijke zwaardere plichten dan als verwerker. Dat is een reden waarom de AVG de verwerkersovereenkomst verplicht heeft gesteld. Daarin wordt de verdeling van verantwoordelijkheden tussen verantwoordelijke en verwerker verder contractueel uitgewerkt.

Een van de verbetertaken uit de nulmeting: sluit verwerkersovereenkomsten.

Een hele belangrijke verbetertaak die meestal uit de nulmetingen rolt is het sluiten van verwerkersovereenkomsten met partijen waar dat nog niet mee is gedaan. Ook kan het screenen van reeds enige tijd afgesloten verwerkersovereenkomsten een verbetertaak zijn, om te toetsen of deze wel voldoen aan de minimale nieuwe eisen die de AVG eraan stelt. Zowel de (verwerkings)verantwoordelijke als de verwerker hebben de plicht om een verwerkersovereenkomst af te sluiten.

Is er altijd een verwerkersovereenkomst nodig?

Nee niet altijd:

Voorbeeld #2: U bent consultant, adviseur of bijv. een advocaat en u stuurt ten behoeve van een werkgever (uw opdrachtgever, cliënt), een e-mail aan de wederpartij met uw standpunt in een bepaalde arbeidszaak. Bijvoorbeeld omtrent een bepaalde werknemer die u noemt met naam en toenaam. Dat is geen simpele verwerking van persoonsgegevens. Immers de opdracht van uw opdrachtgever is niet gericht op verwerken van persoonsgegevens maar gericht op het afnemen van (juridisch) advies, ten behoeve van het oplossen van een (juridisch) probleem. U als adviseur, advocaat verwerkt die gegevens geheel op eigen verantwoordelijkheid op een manier dat u zelf bepaalt. Daarom bent u verantwoordelijke. Dan is er ook geen verwerkersovereenkomst nodig aangezien uw opdrachtgever ook een verantwoordelijke is.

Voorbeeld #3. Hoe zit het met hoofdaannemer die gegevens opvraagt van personeel in dienst bij onderaannemer om te voldoen aan de WAV, WKA etc. De onderaannemer vergaart die gegevens niet alleen voor de hoofdaannemer maar ook voor zichzelf. Maak daar goede afspraken zodra de gegevens worden doorgestuurd. Hier is dus wederom geen verwerkersovereenkomst nodig tussen hoofdaannemer en onderaannemers omdat zij ieder hun eigen verantwoordelijkheid hebben en dus beiden verantwoordelijke zijn. Doorgeven van gegevens is niet in het kader van gegevensverwerking maar in het kader van de onderaanneming. Denk er trouwens wel aan om in de aannemingsvoorwaarden een meldingsplicht op te leggen aan onderaannemer als er data lekken voorkomen bij hen en vice versa. Dit kan vastgelegd worden in een data-uitwisselingsovereenkomst.

Wat legt u vast in een verwerkersovereenkomst?

In de verwerkersovereenkomst legt u bijvoorbeeld vast waar de persoonsgegevens voor mogen worden verwerkt, met wel doel, welke veiligheidsmaatregelen getroffen moeten worden en waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een privacy proof audit uit te voeren bij de verwerker en of de verwerker subverwerkers mag inschakelen voor de verwerking. In principe mag u deze overeenkomst niet in de algemene voorwaarden verstoppen maar in een afzonderlijk document. Echter dat is niet dwingend opgelegd. Er gaan kritisch geluiden van experts dat het gewoon verwerkt moet kunnen worden in bestaande documenten dus ook in de algemene voorwaarden. Verstandig om daar kritisch naar te kijken per type relatie en de gegeven omstandigheden van het geval.

Onderhandelen over een verwerkersovereenkomst.

Degene die het eerste met een eigen versie komt, heeft meestal het onderhandelingsvoordeel. U bent dan penvoerder en aanpassingen gedaan krijgen in het document van een ander is altijd lastiger. In onze MKB privacy Portal kunt u op maat zulke verwerkersovereenkomst in een handomdraai maken. Uiteraard kan het zijn dat grote partijen, corporates alsnog met hun eigen versie komen en u niet in de onderhandelingspositie bent om met uw eigen versie te komen. Alsnog is het dan raadzaam om die kritisch te screenen en niet zomaar alles te accepteren wat daar in staat. Dat kan enorme consequenties hebben. Juist als het om grote wederpartijen gaat die diepe zakken hebben om te procederen. Bij een datalek zullen deze genoeg geld en tijd hebben om via de rechter een schadeclaim neer te leggen bij uw organisatie op grond van de verwerkersovereenkomst. U staat dan 2-0 achter als u niet uw aansprakelijkheid heeft beperkt in de verwerkersovereenkomst.

Cyberrisk verzekering.

Een cyberrisk verzekering kan dan trouwens wel nog een vangnet vormen als u die beperking van aansprakelijkheid niet gedaan krijgt. Ook dekt het de kosten van uw rechtsbijstand. Laat u daar goed over adviseren.

Heeft u vragen over dit onderwerp, of interesse in de diensten van TLPC, zoals de AVG nulmeting, de MKB privacy portal of andere privacy consultancy diensten, bel of mail ons dan op 020-3450152 of info@thelegalprivacycompany.com Surf vooral ook naar www.thelegalprivacycompany.com

Rechten van betrokkene onder de AVG

De AVG kent verschillende rechten toe aan personen van wie persoonsgegevens worden verwerkt (betrokkenen) en biedt ze meer middelen om de verwerking van hun persoonsgegevens te controleren en te beïnvloeden. Welke rechten heeft de betrokkene onder de AVG?

Recht op informatie (artikel 13 en 14 AVG)

Het moet voor de betrokkene duidelijk zijn dat zijn of haar persoonsgegevens worden verwerkt en dat dit op een behoorlijke en transparante manier plaatst vindt. Er bestaat een actieve informatieplicht naar de betrokkene. De AVG verplicht je daarbij o.a. de doelen, ontvangers en de periode te vermelden. Dit kan je bijv. realiseren door een privacy statement op je website te plaatsen. Let op: Verandert er iets aan de verwerking, dan moet ook daarover heldere informatie worden verstrekt.

 Recht van inzage (artikel 15 AVG )

Betrokkenen hebben het recht om te informeren of zijn of haar persoonsgegevens worden verwerkt. Vraagt iemand om inzage, dan moet je dit op een duidelijke en begrijpelijke manier laten zien. De AVG bevat een opsomming van de informatie waarvoor het recht van inzage geldt. Zoals; om welke gegevens het gaat, wat het doel is van gebruik en de herkomst van de gegevens (indien bekend).

Recht op rectificatie (artikel 16 & 19 AVG)

Betrokkene heeft recht op rectificatie van hem betreffende onjuiste persoonsgegevens dan wel het recht een aanvullende verklaring te verstrekken wanneer de verwerking plaatsvindt op basis van onvolledige gegevens. De verwerkingsverantwoordelijke is verplicht iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis te stellen van elke rectificatie, tenzij dit onmogelijk is of onevenredig veel inspanning vraagt.

Recht op gegevenswissing / vergetelheid (artikel 17 & 19 AVG)

De verwerkingsverantwoordelijke is verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen op verzoek van de betrokkene, onder andere indien:

  • persoonsgegevens niet langer nodig zijn voor de doeleinden van de gegevensverwerking;
  • de betrokkene zijn of haar toestemming intrekt en er geen andere rechtsgrond voor verwerking is;
  • betrokkene bezwaar maakt tegen de verwerking;
  • de persoonsgegevens onrechtmatig verwerkt zijn.

 Recht op beperking van de verwerking (artikel 18 & 19 AVG)

Het recht op beperking houdt in dat de persoonsgegevens – tijdelijk- niet verwerkt mogen worden. Dit recht kan worden uitgeoefend in het geval er een bezwaar is. Het feit dat de verwerking van de persoonsgegevens beperkt is, moet door de verwerkingsverantwoordelijke duidelijk in het bestand zijn aangegeven zodat dit ook duidelijk is voor ontvangers van de persoonsgegevens. Wanneer de beperking weer wordt opgeheven, moet de betrokkene hiervan op de hoogte worden gebracht.

Recht op overdraagbaarheid / dataportibiliteit (artikel 20 AVG)

Dit recht houdt in dat een betrokkene de gegevens van een verwerkingsverantwoordelijke moet kunnen verkrijgen in gestructureerde, gangbare en leesbare vorm en het recht heeft deze gegevens aan een andere verwerkingsverantwoordelijke over te dragen of rechtstreeks te laten overdragen, zonder daarbij te worden gehinderd tenzij dit afbreuk doet aan rechten en vrijheden van anderen. Een betrokkene heeft recht op overdraagbaarheid voor zover het gaat om door hem zelf verstrekte gegevens.

Recht van bezwaar (artikel 21 AVG)

Een betrokkene kan vanwege redenen die verband houden met zijn specifieke situatie gebruik maken van dit recht van bezwaar tegen de verwerking van hem betreffende persoonsgegevens, als voldaan aan de in de verordening genoemde eisen. Als de betrokkene bezwaar maakt staakt de verwerkingsverantwoordelijke de verwerking, tenzij dwingende gerechtvaardigde gronden anders bepalen.

Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profiling (artikel 22 AVG)

Bij dit recht kan bijvoorbeeld gedacht worden aan de automatische weigering van een online ingediende kredietaanvraag of aan de verwerking van sollicitaties via internet zonder menselijke tussenkomst. In drie gevallen is geautomatiseerde individuele besluitvorming wel mogelijk:

  1. het is noodzakelijk voor de totstandkoming of de uitvoering van een overeenkomst;
  2. het is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling;
  3. het berust op de uitdrukkelijke toestemming van de betrokkene.

Wilt u meer weten over de rechten van de betrokkene of andere aspecten van de AVG? Mail: info@thelegalcompany.nl

8 korte Q&A inzake de nieuwe privacy wetgeving

Q: De AVG, wat is dat?
A: De Algemene verordening gegevensbescherming (AVG) is de nieuwe Europese privacywetgeving waar elke organisatie die persoonsgegevens verwerkt aan moet voldoen. In het Engels kom je de benaming GDPR tegen.

Q: Wanneer is de AVG van toepassing?
A:
 Per 25 mei 2018 is de AVG van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Q: Wat is het gevolg?
A:
 Deze nieuwe wet brengt strengere regels rondom de privacy van persoonsgegevens met zich mee. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen en de betrokkene over wie de gegevens gaan krijgen meer rechten.

De nadruk hierbij ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden!

Q: Geldt dit ook voor mij?
A:
 Ja, hoogstwaarschijnlijk wel. Dit omdat het alleen al opslaan van NAW-gegevens van bijvoorbeeld het personeel of het email adres van een klant het verwerken van persoonsgegevens is.

Q: Moet iedere organisatie aan dezelfde vereisten voldoen?
A:
 In beginsel wel. Echter zijn sommige verplichtingen alleen van toepassing als je aan de kwalificaties voldoet. Verder moeten de beveiligingsmaatregelen passend zijn en is “passend” niet voor iedere organisatie hetzelfde.

Voorbeelden:
• Het verplicht moeten uitvoeren van een Data Protection Impact Assessment (DPIA). Dit ben je echter alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert.
• Je kan verplicht zijn een Functionaris Gegevens bescherming (FG) aan te stellen, maar dit geldt dus ook niet voor iedere organisatie!

Q: Wat zijn de sancties en gevolgen van het niet naleven van deze wetgeving?
A:
 Hoge boetes door de Autoriteit Persoonsgegevens, claims van betrokkenen, persoonlijke aansprakelijkheid als directeur/bestuurder en reputatie- en bedrijfsschade.

Q: Heb ik er verder nog belang bij om te voldoen aan deze wetgeving?
A:
 Privacy proof zijn is tegenwoordig een unique selling point (USP). Als je verzekert dat je privacy proof bent richting klanten en potentiële klanten, is dat een extra reden voor ze om hun diensten/producten bij jou af te nemen. Zie het daarom naast een wettelijke verplichting ook als een commerciële investering om klanten te behouden en aan te trekken.

Q: Wat moet ik nu doen ter voorbereiding?
A: 
De start is een nulmeting! Met een nulmeting wordt er gekeken naar de huidige stand van zaken rondom de privacy van persoonsgegevens en wordt er vastgesteld welke acties genomen moeten worden om 100% privacy AVG proof te zijn. De te nemen acties kunnen dan zelf of indien nodig in samenwerking met een expert worden uitgevoerd.

Offerte ontvangen voor een nulmeting?

Mail: info@thelegalprivacycompany.com of bel: 020-3450152

Hoe wordt het MKB privacy proof op 25-5-18?

Dat u, ook als MKB’er, vanaf 25 mei 2018 absolute veiligheid moet garanderen en aantonen ten aanzien van persoonsgegevens (op basis van nieuwe Europese privacywetgeving) is, als het goed is, geen nieuws meerHoe u als MKB’er daaraan moet voldoen, mag wel wat duidelijker worden. De meesten zien door de bomen het bos niet meer. Het is complexe regelgeving, maar u wilt gewoon een oplossing die bovendien betaalbaar is. Daarom ga ik u in mijn blog serie meenemen in de stappen die het MKB moet nemen om AVG proof te worden. Blijf me dus vooral volgen. In deze blog start ik met dat u moet beginnen met een privacy nulmeting. Waarom is deze stap zo belangrijk?

Nulmeting.

Om privacy proof te worden, is het (laten) uitvoeren van een nulmeting de eerste stap. Uit de nulmeting komt een rapportage o.a. met de punten die binnen uw organisatie nog niet privacy proof zijn. Er worden dan uiteraard ook concrete verbeteradviezen gegeven.

Om tot deze rapportage te komen wordt er tijdens de nulmeting een vragenlijst doorgelopen. De vragen gaan o.a. over:

  • Welke verwerkingen van persoonsgegevens vinden plaats en met welke soort persoonsgegevens;
  • Wat is het interne beleid rondom privacy en datalekken;
  • Zijn er Privacy statements e.d. en wat is de kwaliteit ervan;
  • Is de verplichte en noodzakelijke contractdocumentatie (zoals verwerkersovereenkomsten) aanwezig;
  • Heeft u een Cyber verzekering;
  • Wat is de stand van zake met de ICT technische beveiliging.

Zorg daarom dat u de informatie en huidige documentatie rondom bovenstaande punten verzameld heeft voordat de nulmeting plaatsvindt!

Afwegingen maken.

Tijdens een nulmeting voor het MKB moeten er afwegingen worden gemaakt. U moet natuurlijk voldoen aan de (nieuwe) privacywetgeving, maar daarbij gaat het ook om het nemen van “passende” (betaalbare) maatregelen. Wat passend en haalbaar is voor uw organisatie, zal uit de nulmeting naar voren komen. Er kan van een kleine MKB’er op dat vlak niet hetzelfde worden verwacht als van een groot bedrijf zoals KPN!

In onze nulmeting houden wij daarom altijd rekening met de grootte van de onderneming, het realistische budget en wat de autoriteiten daarop gelet redelijkerwijs van de organisatie mag verwachten.

Waarom een nulmeting?

De AVG verplicht organisaties om aantoonbaar in control te zijn. Met andere worden: “wees privacy proof en laat zien dat u er alles aan doet om dit te blijven”. Met de nulmeting legt u de basis om privacy proof te worden en kunt u bij datalekken altijd aantonen dat u er serieus mee bezig bent. Dit voorkomt boetes!

Privacy proof is een USP!!

Het uitvoeren van een nulmeting en uw organisatie privacy AVG proof maken, doet u niet om alleen aan de wet te voldoen. Als u tegenwoordig verzekert dat u privacy proof bent richting uw klanten, is dat een extra reden voor ze om hun diensten/producten bij u te blijven afnemen. Zie het daarom naast een wettelijke verplichting ook als een commerciële investering, een unique selling point (USP) van uw organisatie.

Offerte aanvragen voor een nulmeting? Bel 020-3450152 of mail naar hvercammen@thelegalprivacycompany.com of mijn collega tnoorlander@thelegalprivacycompany.com