Leestijd: 4 minuten

AVG: Zijn jouw IT-partners er klaar voor?

Heeft jouw automatiseerder en/of IT-leverancier(s) alles omtrent privacygevoelige gegevens wel op orde? En wat kun je daar als organisatie zelf aan doen?

AVG IT partners
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

De Algemene Verordening Gegevensbescherming (AVG) staat bij veel organisaties hoog op de agenda. Zeker nu de deadline van 25 mei nadert, waarop de wet van kracht wordt. Organisaties zijn drukdoende om alles op de rit te krijgen. Dat geldt niet alleen voor de interne organisatie, maar ook voor de samenwerking met externe stakeholders. Een veel gestelde vraag daarbij is of de automatiseerder en/of IT-leverancier(s) alles omtrent privacygevoelige gegevens wel op orde hebben? En wat kun je er als organisatie aan doen om dit goed in te regelen met je partners, zodat je zeker weet dat de privacy geborgd is?

Wie is verantwoordelijk bij uitbesteding van persoonsgegevens?

Als organisatie ben je verantwoordelijk voor de persoonsgegevens die je vastlegt en dien je passende technische en organisatorische maatregelen te treffen om de privacygevoelige gegevens te beschermen. Dat geldt dus ook voor gegevens die middels softwaresystemen uit zijn besteed aan externen (ook wel stakeholders genoemd). Als organisatie blijf je namelijk verantwoordelijk voor de verwerking van jouw gegevens. Of je dat nu volledig in huis doet of (deels) daarbuiten. Dat betekent dat je in veel gevallen aan zult moeten kloppen bij je automatiseerder of IT-leverancier, aangezien dat degene is die de software in beheer heeft.

De verwerkingsverantwoordelijke (jouw organisatie) is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

De verwerker (je IT-leverancier) is degene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Heeft jouw IT-partner passende maatregelen getroffen?

Zowel de verwerkingsverantwoordelijke (jouw organisatie) alsmede de verwerker (je automatiseerder/IT-leverancier) zijn vanuit de AVG genoodzaakt om passende technische en organisatorische maatregelen te nemen. Denk daarbij aan het versleutelen van gegevens, het kwalitatief goed inregelen van diensten en systemen waarmee gegevens worden verwerkt en het testen en evalueren van de beveiliging. Maar hoe weet je of jouw IT-leverancier deze maatregelen neemt en of jouw privacygevoelige data bij die partij in goede handen is? Belangrijk om te weten, aangezien de Autoriteit Persoonsgegevens jouw organisatie aan zal spreken wanneer er iets mis gaat met de verwerking van de persoonsgegevens.

Check je IT-partners

Om erachter te komen hoe goed je IT-partners hun zaken geregeld hebben is het allereerst verstandig om in kaart te brengen met welke externe partijen er nu precies wordt samengewerkt met het oog op de verwerking van bepaalde persoonsgegevens. Vervolgens kun je gaan bepalen of je partnerships hebt met betrouwbare partijen. De AVG-wet stelt immers dat je de verwerking van persoonsgegevens niet zomaar bij een willekeurige partij onder mag brengen. Het is dus van belang om je IT-leverancier goed door te lichten, mocht je dat eerder nog niet gedaan hebben. Dat kan bijvoorbeeld door certificeringen die het bedrijf heeft op te vragen of door middel van het uitvoeren van een (onafhankelijke) analyse bij je IT-partij. Zo kun je (laten) checken of je leverancier de beveiliging op orde heeft en voldoet aan de AVG.

Stel een verwerkersovereenkomst op en maak goede afspraken

Nadat je jezelf verzekerd hebt van het feit dat je met de juiste partijen samenwerkt ben je vanuit de AVG verplicht om schriftelijke afspraken over de juiste verwerking van persoonsgegevens met elkaar op te stellen in de vorm van een ‘verwerkersovereenkomst’. Daarbij is het belangrijk om te weten dat een gegevensverwerker, zoals je automatiseerder of IT-leverancier, uitsluitend mag handelen op basis van schriftelijke instructies van de verantwoordelijke. Leg alles daarom goed vast. Denk daarbij aan zaken als:

  • Wat je van jouw leverancier verwacht
  • Voor welke doeleinden de gegevens verwerkt mogen worden
  • De gemaakte afspraken over privacybescherming en beveiligingsmaatregelen
  • Vertrouwelijkheid
  • De afhandeling van datalekken
  • De financiële kant van het verhaal; wie betaalt wat?
  • De omgang met eventuele subverwerkers
  • Audits
  • Rechten van betrokkenen

Een verwerker heeft, net als jouw organisatie, vanuit de AVG de verplichting om beveiligingsmaatregelen te treffen. De verwerker is namelijk zelf aansprakelijk voor schade als gevolg van het niet op orde hebben van de beveiliging.

Dat neemt echter niet weg dat je met je verwerkers goede afspraken moet maken over wat er gebeurt als het mis gaat bij het verwerken van gegevens. Wat doe je bij een datalek? Op wie wordt de schade dan verhaald? Het is verstandig om over dit soort zaken aanvullende afspraken met elkaar te maken in een verwerkersovereenkomst.

Meer weten over de AVG en informatiebeveiliging?

Neem dan gerust contact met ons op. Onze adviseurs helpen je graag op weg!

NEEM CONTACT OP

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Handig AVG stappenplan!

Aan de slag met de AVG-wetgeving?

  • Leer alles over de AVG-wetgeving
  • Handig stappenplan

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields