AVG: Zijn jouw IT-partners er klaar voor?

De Algemene Verordening Gegevensbescherming (AVG) staat bij veel organisaties hoog op de agenda. Zeker nu de deadline van 25 mei nadert, waarop de wet van kracht wordt. Organisaties zijn drukdoende om alles op de rit te krijgen. Dat geldt niet alleen voor de interne organisatie, maar ook voor de samenwerking met externe stakeholders. Een veel gestelde vraag daarbij is of de automatiseerder en/of IT-leverancier(s) alles omtrent privacygevoelige gegevens wel op orde hebben? En wat kun je er als organisatie aan doen om dit goed in te regelen met je partners, zodat je zeker weet dat de privacy geborgd is?

Als organisatie ben je verantwoordelijk voor de persoonsgegevens die je vastlegt en dien je passende technische en organisatorische maatregelen te treffen om de privacygevoelige gegevens te beschermen. Dat geldt dus ook voor gegevens die middels softwaresystemen uit zijn besteed aan externen (ook wel stakeholders genoemd). Als organisatie blijf je namelijk verantwoordelijk voor de verwerking van jouw gegevens. Of je dat nu volledig in huis doet of (deels) daarbuiten. Dat betekent dat je in veel gevallen aan zult moeten kloppen bij je automatiseerder of IT-leverancier, aangezien dat degene is die de software in beheer heeft.

Zowel de verwerkingsverantwoordelijke (jouw organisatie) alsmede de verwerker (je automatiseerder/IT-leverancier) zijn vanuit de AVG genoodzaakt om passende technische en organisatorische maatregelen te nemen. Denk daarbij aan het versleutelen van gegevens, het kwalitatief goed inregelen van diensten en systemen waarmee gegevens worden verwerkt en het testen en evalueren van de beveiliging. Maar hoe weet je of jouw IT-leverancier deze maatregelen neemt en of jouw privacygevoelige data bij die partij in goede handen is? Belangrijk om te weten, aangezien de Autoriteit Persoonsgegevens jouw organisatie aan zal spreken wanneer er iets mis gaat met de verwerking van de persoonsgegevens.

Om erachter te komen hoe goed je IT-partners hun zaken geregeld hebben is het allereerst verstandig om in kaart te brengen met welke externe partijen er nu precies wordt samengewerkt met het oog op de verwerking van bepaalde persoonsgegevens. Vervolgens kun je gaan bepalen of je partnerships hebt met betrouwbare partijen. De AVG-wet stelt immers dat je de verwerking van persoonsgegevens niet zomaar bij een willekeurige partij onder mag brengen. Het is dus van belang om je IT-leverancier goed door te lichten, mocht je dat eerder nog niet gedaan hebben. Dat kan bijvoorbeeld door certificeringen die het bedrijf heeft op te vragen of door middel van het uitvoeren van een (onafhankelijke) analyse bij je IT-partij. Zo kun je (laten) checken of je leverancier de beveiliging op orde heeft en voldoet aan de AVG.

Nadat je jezelf verzekerd hebt van het feit dat je met de juiste partijen samenwerkt ben je vanuit de AVG verplicht om schriftelijke afspraken over de juiste verwerking van persoonsgegevens met elkaar op te stellen in de vorm van een ‘verwerkersovereenkomst’. Daarbij is het belangrijk om te weten dat een gegevensverwerker, zoals je automatiseerder of IT-leverancier, uitsluitend mag handelen op basis van schriftelijke instructies van de verantwoordelijke. Leg alles daarom goed vast. Denk daarbij aan zaken als:

Een verwerker heeft, net als jouw organisatie, vanuit de AVG de verplichting om beveiligingsmaatregelen te treffen. De verwerker is namelijk zelf aansprakelijk voor schade als gevolg van het niet op orde hebben van de beveiliging.

Dat neemt echter niet weg dat je met je verwerkers goede afspraken moet maken over wat er gebeurt als het mis gaat bij het verwerken van gegevens. Wat doe je bij een datalek? Op wie wordt de schade dan verhaald? Het is verstandig om over dit soort zaken aanvullende afspraken met elkaar te maken in een verwerkersovereenkomst.

Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!