De Algemene Verordening Gegevensbescherming (AVG) staat bij veel organisaties hoog op de agenda. Zeker nu de deadline van 25 mei nadert, waarop de wet van kracht wordt. Organisaties zijn drukdoende om alles op de rit te krijgen. Dat geldt niet alleen voor de interne organisatie, maar ook voor de samenwerking met externe stakeholders. Een veel gestelde vraag daarbij is of de automatiseerder en/of IT-leverancier(s) alles omtrent privacygevoelige gegevens wel op orde hebben? En wat kun je er als organisatie aan doen om dit goed in te regelen met je partners, zodat je zeker weet dat de privacy geborgd is?

Wie is verantwoordelijk bij uitbesteding van persoonsgegevens?

Als organisatie ben je verantwoordelijk voor de persoonsgegevens die je vastlegt en dien je passende technische en organisatorische maatregelen te treffen om de privacygevoelige gegevens te beschermen. Dat geldt dus ook voor gegevens die middels softwaresystemen uit zijn besteed aan externen (ook wel stakeholders genoemd). Als organisatie blijf je namelijk verantwoordelijk voor de verwerking van jouw gegevens. Of je dat nu volledig in huis doet of (deels) daarbuiten. Dat betekent dat je in veel gevallen aan zult moeten kloppen bij je automatiseerder of IT-leverancier, aangezien dat degene is die de software in beheer heeft.

De verwerkingsverantwoordelijke (jouw organisatie) is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

De verwerker (je IT-leverancier) is degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Heeft jouw IT-partner passende maatregelen getroffen?

Zowel de verwerkingsverantwoordelijke (jouw organisatie) alsmede de verwerker (je automatiseerder/IT-leverancier) zijn vanuit de AVG genoodzaakt om passende technische en organisatorische maatregelen te nemen. Denk daarbij aan het versleutelen van gegevens, het kwalitatief goed inregelen van diensten en systemen waarmee gegevens worden verwerkt en het testen en evalueren van de beveiliging. Maar hoe weet je of jouw IT-leverancier deze maatregelen neemt en of jouw privacygevoelige data bij die partij in goede handen is? Belangrijk om te weten, aangezien de Autoriteit Persoonsgegevens jouw organisatie aan zal spreken wanneer er iets mis gaat met de verwerking van de persoonsgegevens.


AVG: De meest gestelde vragen. Download de gratis whitepaper.

De AVG-wet roept nog altijd veel vragen op. Wij hebben de meest gestelde vragen gebundeld in een handig document. Download het gratis.

DOWNLOAD WHITEPAPER
AVG whitepaper mockup

Check je IT-partners

Om erachter te komen hoe goed je IT-partners hun zaken geregeld hebben is het allereerst verstandig om in kaart te brengen met welke externe partijen er nu precies wordt samengewerkt met het oog op de verwerking van bepaalde persoonsgegevens. Vervolgens kun je gaan bepalen of je partnerships hebt met betrouwbare partijen. De AVG-wet stelt immers dat je de verwerking van persoonsgegevens niet zomaar bij een willekeurige partij onder mag brengen. Het is dus van belang om je IT-leverancier goed door te lichten, mocht je dat eerder nog niet gedaan hebben. Dat kan bijvoorbeeld door certificeringen die het bedrijf heeft op te vragen of door middel van het uitvoeren van een (onafhankelijke) analyse bij je IT-partij. Zo kun je (laten) checken of je leverancier de beveiliging op orde heeft en voldoet aan de AVG.

Stel een verwerkersovereenkomst op en maak goede afspraken

Nadat je jezelf verzekerd hebt van het feit dat je met de juiste partijen samenwerkt ben je vanuit de AVG verplicht om schriftelijke afspraken over de juiste verwerking van persoonsgegevens met elkaar op te stellen in de vorm van een ‘verwerkersovereenkomst’. Daarbij is het belangrijk om te weten dat een gegevensverwerker, zoals je automatiseerder of IT-leverancier, uitsluitend mag handelen op basis van schriftelijke instructies van de verantwoordelijke. Leg alles daarom goed vast. Denk daarbij aan zaken als:

  • Wat je van jouw leverancier verwacht
  • Voor welke doeleinden de gegevens verwerkt mogen worden
  • De gemaakte afspraken over privacybescherming en beveiligingsmaatregelen
  • Vertrouwelijkheid
  • De afhandeling van datalekken
  • De financiële kant van het verhaal; wie betaalt wat?
  • De omgang met eventuele subverwerkers
  • Audits
  • Rechten van betrokkenen

Een verwerker heeft, net als jouw organisatie, vanuit de AVG de verplichting om beveiligingsmaatregelen te treffen. De verwerker is namelijk zelf aansprakelijk voor schade als gevolg van het niet op orde hebben van de beveiliging.

Dat neemt echter niet weg dat je met je verwerkers goede afspraken moet maken over wat er gebeurt als het mis gaat bij het verwerken van gegevens. Wat doe je bij een datalek? Op wie wordt de schade dan verhaald? Het is verstandig om over dit soort zaken aanvullende afspraken met elkaar te maken in een verwerkersovereenkomst.

Meer informatie?

Wil je meer informatie over de omgang met externe stakeholders in relatie tot de AVG en informatiebeveiliging?

Neem dan gerust contact met ons op. Onze adviseur vertelt je er graag meer over.

NEEM CONTACT OP
Wat is een ISMS - ISO 27001

Onze nieuwsitems maandelijks in je mailbox?

Laat je mailadres achter en ontvang elke maand onze nieuwsbrief boordevol kennis, nieuws en inspiratie.