AVG: Zijn jouw IT-partners er klaar voor?
Heeft jouw automatiseerder en/of IT-leverancier(s) alles omtrent privacygevoelige gegevens wel op orde? En wat kun je daar als organisatie zelf aan doen?
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlDe Algemene Verordening Gegevensbescherming (AVG) staat bij veel organisaties hoog op de agenda. Zeker nu de deadline van 25 mei nadert, waarop de wet van kracht wordt. Organisaties zijn drukdoende om alles op de rit te krijgen. Dat geldt niet alleen voor de interne organisatie, maar ook voor de samenwerking met externe stakeholders. Een veel gestelde vraag daarbij is of de automatiseerder en/of IT-leverancier(s) alles omtrent privacygevoelige gegevens wel op orde hebben? En wat kun je er als organisatie aan doen om dit goed in te regelen met je partners, zodat je zeker weet dat de privacy geborgd is?
Wie is verantwoordelijk bij uitbesteding van persoonsgegevens?
Als organisatie ben je verantwoordelijk voor de persoonsgegevens die je vastlegt en dien je passende technische en organisatorische maatregelen te treffen om de privacygevoelige gegevens te beschermen. Dat geldt dus ook voor gegevens die middels softwaresystemen uit zijn besteed aan externen (ook wel stakeholders genoemd). Als organisatie blijf je namelijk verantwoordelijk voor de verwerking van jouw gegevens. Of je dat nu volledig in huis doet of (deels) daarbuiten. Dat betekent dat je in veel gevallen aan zult moeten kloppen bij je automatiseerder of IT-leverancier, aangezien dat degene is die de software in beheer heeft.
De verwerkingsverantwoordelijke (jouw organisatie) is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
De verwerker (je IT-leverancier) is degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Heeft jouw IT-partner passende maatregelen getroffen?
Zowel de verwerkingsverantwoordelijke (jouw organisatie) alsmede de verwerker (je automatiseerder/IT-leverancier) zijn vanuit de AVG genoodzaakt om passende technische en organisatorische maatregelen te nemen. Denk daarbij aan het versleutelen van gegevens, het kwalitatief goed inregelen van diensten en systemen waarmee gegevens worden verwerkt en het testen en evalueren van de beveiliging. Maar hoe weet je of jouw IT-leverancier deze maatregelen neemt en of jouw privacygevoelige data bij die partij in goede handen is? Belangrijk om te weten, aangezien de Autoriteit Persoonsgegevens jouw organisatie aan zal spreken wanneer er iets mis gaat met de verwerking van de persoonsgegevens.
Check je IT-partners
Om erachter te komen hoe goed je IT-partners hun zaken geregeld hebben is het allereerst verstandig om in kaart te brengen met welke externe partijen er nu precies wordt samengewerkt met het oog op de verwerking van bepaalde persoonsgegevens. Vervolgens kun je gaan bepalen of je partnerships hebt met betrouwbare partijen. De AVG-wet stelt immers dat je de verwerking van persoonsgegevens niet zomaar bij een willekeurige partij onder mag brengen. Het is dus van belang om je IT-leverancier goed door te lichten, mocht je dat eerder nog niet gedaan hebben. Dat kan bijvoorbeeld door certificeringen die het bedrijf heeft op te vragen of door middel van het uitvoeren van een (onafhankelijke) analyse bij je IT-partij. Zo kun je (laten) checken of je leverancier de beveiliging op orde heeft en voldoet aan de AVG.
Stel een verwerkersovereenkomst op en maak goede afspraken
Nadat je jezelf verzekerd hebt van het feit dat je met de juiste partijen samenwerkt ben je vanuit de AVG verplicht om schriftelijke afspraken over de juiste verwerking van persoonsgegevens met elkaar op te stellen in de vorm van een ‘verwerkersovereenkomst’. Daarbij is het belangrijk om te weten dat een gegevensverwerker, zoals je automatiseerder of IT-leverancier, uitsluitend mag handelen op basis van schriftelijke instructies van de verantwoordelijke. Leg alles daarom goed vast. Denk daarbij aan zaken als:
- Wat je van jouw leverancier verwacht
- Voor welke doeleinden de gegevens verwerkt mogen worden
- De gemaakte afspraken over privacybescherming en beveiligingsmaatregelen
- Vertrouwelijkheid
- De afhandeling van datalekken
- De financiële kant van het verhaal; wie betaalt wat?
- De omgang met eventuele subverwerkers
- Audits
- Rechten van betrokkenen
Een verwerker heeft, net als jouw organisatie, vanuit de AVG de verplichting om beveiligingsmaatregelen te treffen. De verwerker is namelijk zelf aansprakelijk voor schade als gevolg van het niet op orde hebben van de beveiliging.
Dat neemt echter niet weg dat je met je verwerkers goede afspraken moet maken over wat er gebeurt als het mis gaat bij het verwerken van gegevens. Wat doe je bij een datalek? Op wie wordt de schade dan verhaald? Het is verstandig om over dit soort zaken aanvullende afspraken met elkaar te maken in een verwerkersovereenkomst.
Meer weten over de AVG en informatiebeveiliging?
Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlHandig AVG stappenplan!
Aan de slag met de AVG-wetgeving?
- Leer alles over de AVG-wetgeving
- Handig stappenplan