Wisselt u gegevens uit met anderen?

Dit is de derde van negen korte artikelen over de nieuwe privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). In de komende artikelen behandelen we de belangrijkste thema’s uit de AVG.

Uitwisselen moet u in dit kader heel breed zien. Ook het invoeren van gegevens in bijvoorbeeld uitzendsoftware die niet op uw eigen server staat, valt hier al onder. Het is daarom belangrijk om vast te stellen welke andere organisaties persoonsgegevens voor u verwerken (de zogenaamde ‘verwerker’). Voor de privacywet bent u namelijk de ‘verwerkingsverantwoordelijke’ en u moet duidelijke afspraken maken over de manier waarop deze ‘verwerker’ omgaat met de persoonsgegevens. Deze afspraken kunnen vastgelegd worden in een verwerkersovereenkomst. U zult ook moeten voorzien in adequate procedures om datalekken op te sporen, te rapporteren en te onderzoek. Hoe pakt u dit gestructureerd aan?

Eerst moet u weten welke (bijzondere) persoonsgegevens u verwerkt. In ons derde artikel hebben wij hieraan aandacht besteed. U hebt de verwerkingen vastgelegd in een register. Dat kan dus als basis dienen. De volgende vraag is, wie de ‘verwerkingsverantwoordelijke’ is en wie de ‘verwerker’. De privacywetgeving stelt dat degene die het doel en de middelen bepaalt ‘de verwerkingsverantwoordelijke’ is. Deze zal het initiatief moeten nemen tot het sluiten van een verwerkersovereenkomst. Inventariseer dus per partij met wie u persoonsgegevens uitwisselt en wie het doel en de middelen bepaalt. Beide partijen hebben specifieke plichten om de beveiliging van persoonsgegevens goed te regelen. Privacy is immers teamwork.

Als u vastgesteld heeft in welke situaties u verantwoordelijke bent is het van belang dat u met de verwerker een verwerkersovereenkomst sluit. In de AVG staan afspraken die u verplicht moet maken met uw verwerker. In onze toolbox is hiervoor een model opgenomen, maar ook de ABU en NBBU hebben modellen opgesteld.

Vervolgens is van belang om met de verwerker te kijken welke beveiligingsmaatregelen er door de verwerker getroffen moeten worden, passend bij het soort gegevensverwerking. U doet er verstandig aan ook deze contractueel vast te laten leggen en de ICT-afdeling, de systeembeheerder of de security officer met dit onderdeel mee te laten kijken.

Als laatste is het inrichten van een datalekprotocol belangrijk. Het belangrijkste daarbij is dat u uw eigen medewerkers informeert over wat een beveiligingsincident en wat een datalek is. Vervolgens is het belangrijk dat medewerkers een beveiligingsincident of datalek kunnen melden op eenvoudige en toegankelijke wijze. Dit kan bijvoorbeeld via een formulier op intranet. Ook zult u deze meldingen moeten registreren en daarom is het aan te bevelen om een register aan te leggen waarin u de meldingen vastlegt. Als u via ons een privacy officer afneemt, is het bijhouden van dit register een van zijn taken.

In ons volgende artikel wordt ingegaan op het Privacy Impact Assessment (PIA). Te vaak worden PIA’s uitgevoerd terwijl dat niet strikt noodzakelijk is. Wanneer moet uw nu precies een PIA uitvoeren?

Marcel Reijmers, directeur FlexKnowledge

* FlexKnowledge en Verdonck Klooster & Associates helpen ondernemers om te voldoen aan de vereisten van de AVG.

Bent u al AVGoké Flex?
Op 15 en 20 maart 2018 organiseren FlexKnowledge, Verdonck Klooster & Associates, ARTRA en Cicero een tweetal seminars om u in een middag goed op weg te helpen. Meer informatie en de mogelijkheid voor inschrijving is te vinden op de website van ARTRA.