AVG to do list ná de nulmeting: Sluit de juiste verwerkersovereenkomsten

Gemakshalve ga ik ervan uit dat u mijn vorige privacy #1 blog heeft gelezen. U weet dus dat de start van iedere MKB onderneming om AVG privacy proof te worden voor 25 mei 2018 altijd start met een AVG privacy nulmeting. U weet ook wat de AVG inhoudt en waarom het belangrijk is om conform deze Europese privacywet privacy verantwoord te ondernemen. 

Stap 1 in de nulmeting: Wat is onze juridische positie binnen de AVG?

In de nulmeting eindrapportage wordt ten eerste vastgelegd welke juridische rol uw bedrijf inneemt binnen de kaders van de AVG wetgeving om de persoonsgegevens te beschermen. Zodoende kunnen ook de specifieke plichten die bij die rol horen, worden gecheckt en afgevinkt. Is uw bedrijf verantwoordelijke (controller in het Engels) voor de verwerking van de persoonsgegevens of is uw bedrijf slechts de verwerker (processor in het Engels), of is uw bedrijf beiden? Of is uw bedrijfs zelfs de subverwerker (sub processor)?

Voorbeeld #1: Uw organisatie is een cateringbedrijf en u legt de persoonsgegevens van al uw personeel vast in een arbeidsovereenkomst, in het personeelsdossier en in de loonadministratie. Dan bent u de verantwoordelijke. Als u deze persoonsgegevens vervolgens doorgeeft aan een externe salarisadministrateur, dan is dit kantoor “de verwerker.” Stel dit kantoor voert weer die salarisadministratie uit met behulp van een extern gehost (Saas) HRM softwarepakket, dan is die softwareleverancier weer een “subverwerker”.

Het basisprincipe van de verantwoordelijke is: U bent verantwoordelijk voor persoonsgegevens dus zult u zicht moeten hebben op wat er gebeurt met die gegevens.

Ook wanneer die gegevens doorgespeeld worden aan een derde om deze slechts te verwerken. Je hebt als verantwoordelijke zwaardere plichten dan als verwerker. Dat is een reden waarom de AVG de verwerkersovereenkomst verplicht heeft gesteld. Daarin wordt de verdeling van verantwoordelijkheden tussen verantwoordelijke en verwerker verder contractueel uitgewerkt.

Een van de verbetertaken uit de nulmeting: sluit verwerkersovereenkomsten.

Een hele belangrijke verbetertaak die meestal uit de nulmetingen rolt is het sluiten van verwerkersovereenkomsten met partijen waar dat nog niet mee is gedaan. Ook kan het screenen van reeds enige tijd afgesloten verwerkersovereenkomsten een verbetertaak zijn, om te toetsen of deze wel voldoen aan de minimale nieuwe eisen die de AVG eraan stelt. Zowel de (verwerkings)verantwoordelijke als de verwerker hebben de plicht om een verwerkersovereenkomst af te sluiten.

Is er altijd een verwerkersovereenkomst nodig?

Nee niet altijd:

Voorbeeld #2: U bent consultant, adviseur of bijv. een advocaat en u stuurt ten behoeve van een werkgever (uw opdrachtgever, cliënt), een e-mail aan de wederpartij met uw standpunt in een bepaalde arbeidszaak. Bijvoorbeeld omtrent een bepaalde werknemer die u noemt met naam en toenaam. Dat is geen simpele verwerking van persoonsgegevens. Immers de opdracht van uw opdrachtgever is niet gericht op verwerken van persoonsgegevens maar gericht op het afnemen van (juridisch) advies, ten behoeve van het oplossen van een (juridisch) probleem. U als adviseur, advocaat verwerkt die gegevens geheel op eigen verantwoordelijkheid op een manier dat u zelf bepaalt. Daarom bent u verantwoordelijke. Dan is er ook geen verwerkersovereenkomst nodig aangezien uw opdrachtgever ook een verantwoordelijke is.

Voorbeeld #3. Hoe zit het met hoofdaannemer die gegevens opvraagt van personeel in dienst bij onderaannemer om te voldoen aan de WAV, WKA etc. De onderaannemer vergaart die gegevens niet alleen voor de hoofdaannemer maar ook voor zichzelf. Maak daar goede afspraken zodra de gegevens worden doorgestuurd. Hier is dus wederom geen verwerkersovereenkomst nodig tussen hoofdaannemer en onderaannemers omdat zij ieder hun eigen verantwoordelijkheid hebben en dus beiden verantwoordelijke zijn. Doorgeven van gegevens is niet in het kader van gegevensverwerking maar in het kader van de onderaanneming. Denk er trouwens wel aan om in de aannemingsvoorwaarden een meldingsplicht op te leggen aan onderaannemer als er data lekken voorkomen bij hen en vice versa. Dit kan vastgelegd worden in een data-uitwisselingsovereenkomst.

Wat legt u vast in een verwerkersovereenkomst?

In de verwerkersovereenkomst legt u bijvoorbeeld vast waar de persoonsgegevens voor mogen worden verwerkt, met wel doel, welke veiligheidsmaatregelen getroffen moeten worden en waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een privacy proof audit uit te voeren bij de verwerker en of de verwerker subverwerkers mag inschakelen voor de verwerking. In principe mag u deze overeenkomst niet in de algemene voorwaarden verstoppen maar in een afzonderlijk document. Echter dat is niet dwingend opgelegd. Er gaan kritisch geluiden van experts dat het gewoon verwerkt moet kunnen worden in bestaande documenten dus ook in de algemene voorwaarden. Verstandig om daar kritisch naar te kijken per type relatie en de gegeven omstandigheden van het geval.

Onderhandelen over een verwerkersovereenkomst.

Degene die het eerste met een eigen versie komt, heeft meestal het onderhandelingsvoordeel. U bent dan penvoerder en aanpassingen gedaan krijgen in het document van een ander is altijd lastiger. In onze MKB privacy Portal kunt u op maat zulke verwerkersovereenkomst in een handomdraai maken. Uiteraard kan het zijn dat grote partijen, corporates alsnog met hun eigen versie komen en u niet in de onderhandelingspositie bent om met uw eigen versie te komen. Alsnog is het dan raadzaam om die kritisch te screenen en niet zomaar alles te accepteren wat daar in staat. Dat kan enorme consequenties hebben. Juist als het om grote wederpartijen gaat die diepe zakken hebben om te procederen. Bij een datalek zullen deze genoeg geld en tijd hebben om via de rechter een schadeclaim neer te leggen bij uw organisatie op grond van de verwerkersovereenkomst. U staat dan 2-0 achter als u niet uw aansprakelijkheid heeft beperkt in de verwerkersovereenkomst.

Cyberrisk verzekering.

Een cyberrisk verzekering kan dan trouwens wel nog een vangnet vormen als u die beperking van aansprakelijkheid niet gedaan krijgt. Ook dekt het de kosten van uw rechtsbijstand. Laat u daar goed over adviseren.

Heeft u vragen over dit onderwerp, of interesse in de diensten van TLPC, zoals de AVG nulmeting, de MKB privacy portal of andere privacy consultancy diensten, bel of mail ons dan op 020-3450152 of info@thelegalprivacycompany.com Surf vooral ook naar www.thelegalprivacycompany.com

8 korte Q&A inzake de nieuwe privacy wetgeving

Q: De AVG, wat is dat?
A: De Algemene verordening gegevensbescherming (AVG) is de nieuwe Europese privacywetgeving waar elke organisatie die persoonsgegevens verwerkt aan moet voldoen. In het Engels kom je de benaming GDPR tegen.

Q: Wanneer is de AVG van toepassing?
A:
 Per 25 mei 2018 is de AVG van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer.

Q: Wat is het gevolg?
A:
 Deze nieuwe wet brengt strengere regels rondom de privacy van persoonsgegevens met zich mee. Organisaties die persoonsgegevens verwerken krijgen meer verplichtingen en de betrokkene over wie de gegevens gaan krijgen meer rechten.

De nadruk hierbij ligt op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden!

Q: Geldt dit ook voor mij?
A:
 Ja, hoogstwaarschijnlijk wel. Dit omdat het alleen al opslaan van NAW-gegevens van bijvoorbeeld het personeel of het email adres van een klant het verwerken van persoonsgegevens is.

Q: Moet iedere organisatie aan dezelfde vereisten voldoen?
A:
 In beginsel wel. Echter zijn sommige verplichtingen alleen van toepassing als je aan de kwalificaties voldoet. Verder moeten de beveiligingsmaatregelen passend zijn en is “passend” niet voor iedere organisatie hetzelfde.

Voorbeelden:
• Het verplicht moeten uitvoeren van een Data Protection Impact Assessment (DPIA). Dit ben je echter alleen verplicht als een gegevensverwerking waarschijnlijk een hoog privacy risico oplevert.
• Je kan verplicht zijn een Functionaris Gegevens bescherming (FG) aan te stellen, maar dit geldt dus ook niet voor iedere organisatie!

Q: Wat zijn de sancties en gevolgen van het niet naleven van deze wetgeving?
A:
 Hoge boetes door de Autoriteit Persoonsgegevens, claims van betrokkenen, persoonlijke aansprakelijkheid als directeur/bestuurder en reputatie- en bedrijfsschade.

Q: Heb ik er verder nog belang bij om te voldoen aan deze wetgeving?
A:
 Privacy proof zijn is tegenwoordig een unique selling point (USP). Als je verzekert dat je privacy proof bent richting klanten en potentiële klanten, is dat een extra reden voor ze om hun diensten/producten bij jou af te nemen. Zie het daarom naast een wettelijke verplichting ook als een commerciële investering om klanten te behouden en aan te trekken.

Q: Wat moet ik nu doen ter voorbereiding?
A: 
De start is een nulmeting! Met een nulmeting wordt er gekeken naar de huidige stand van zaken rondom de privacy van persoonsgegevens en wordt er vastgesteld welke acties genomen moeten worden om 100% privacy AVG proof te zijn. De te nemen acties kunnen dan zelf of indien nodig in samenwerking met een expert worden uitgevoerd.

Offerte ontvangen voor een nulmeting?

Mail: info@thelegalprivacycompany.com of bel: 020-3450152

Hoe wordt het MKB privacy proof op 25-5-18?

Dat u, ook als MKB’er, vanaf 25 mei 2018 absolute veiligheid moet garanderen en aantonen ten aanzien van persoonsgegevens (op basis van nieuwe Europese privacywetgeving) is, als het goed is, geen nieuws meerHoe u als MKB’er daaraan moet voldoen, mag wel wat duidelijker worden. De meesten zien door de bomen het bos niet meer. Het is complexe regelgeving, maar u wilt gewoon een oplossing die bovendien betaalbaar is. Daarom ga ik u in mijn blog serie meenemen in de stappen die het MKB moet nemen om AVG proof te worden. Blijf me dus vooral volgen. In deze blog start ik met dat u moet beginnen met een privacy nulmeting. Waarom is deze stap zo belangrijk?

Nulmeting.

Om privacy proof te worden, is het (laten) uitvoeren van een nulmeting de eerste stap. Uit de nulmeting komt een rapportage o.a. met de punten die binnen uw organisatie nog niet privacy proof zijn. Er worden dan uiteraard ook concrete verbeteradviezen gegeven.

Om tot deze rapportage te komen wordt er tijdens de nulmeting een vragenlijst doorgelopen. De vragen gaan o.a. over:

  • Welke verwerkingen van persoonsgegevens vinden plaats en met welke soort persoonsgegevens;
  • Wat is het interne beleid rondom privacy en datalekken;
  • Zijn er Privacy statements e.d. en wat is de kwaliteit ervan;
  • Is de verplichte en noodzakelijke contractdocumentatie (zoals verwerkersovereenkomsten) aanwezig;
  • Heeft u een Cyber verzekering;
  • Wat is de stand van zake met de ICT technische beveiliging.

Zorg daarom dat u de informatie en huidige documentatie rondom bovenstaande punten verzameld heeft voordat de nulmeting plaatsvindt!

Afwegingen maken.

Tijdens een nulmeting voor het MKB moeten er afwegingen worden gemaakt. U moet natuurlijk voldoen aan de (nieuwe) privacywetgeving, maar daarbij gaat het ook om het nemen van “passende” (betaalbare) maatregelen. Wat passend en haalbaar is voor uw organisatie, zal uit de nulmeting naar voren komen. Er kan van een kleine MKB’er op dat vlak niet hetzelfde worden verwacht als van een groot bedrijf zoals KPN!

In onze nulmeting houden wij daarom altijd rekening met de grootte van de onderneming, het realistische budget en wat de autoriteiten daarop gelet redelijkerwijs van de organisatie mag verwachten.

Waarom een nulmeting?

De AVG verplicht organisaties om aantoonbaar in control te zijn. Met andere worden: “wees privacy proof en laat zien dat u er alles aan doet om dit te blijven”. Met de nulmeting legt u de basis om privacy proof te worden en kunt u bij datalekken altijd aantonen dat u er serieus mee bezig bent. Dit voorkomt boetes!

Privacy proof is een USP!!

Het uitvoeren van een nulmeting en uw organisatie privacy AVG proof maken, doet u niet om alleen aan de wet te voldoen. Als u tegenwoordig verzekert dat u privacy proof bent richting uw klanten, is dat een extra reden voor ze om hun diensten/producten bij u te blijven afnemen. Zie het daarom naast een wettelijke verplichting ook als een commerciële investering, een unique selling point (USP) van uw organisatie.

Offerte aanvragen voor een nulmeting? Bel 020-3450152 of mail naar hvercammen@thelegalprivacycompany.com of mijn collega tnoorlander@thelegalprivacycompany.com