De ideale start van iedere onderneming om AVG privacy proof te worden voor 25 mei 2018 is een externe AVG privacy nulmeting. U weet wellicht inmiddels wat de AVG inhoudt en waarom het belangrijk is om conform deze Europese privacywet verplicht is om privacy verantwoord te ondernemen.

 Stap 1 in de nulmeting: Wat is onze juridische positie binnen de AVG?

In de nulmeting eindrapportage wordt ten eerste vastgelegd welke juridische rol uw bedrijf inneemt binnen de kaders van de AVG wetgeving om de persoonsgegevens te beschermen. Zodoende kunnen ook de specifieke plichten die bij die rol horen, worden gecheckt en afgevinkt. Is uw bedrijf verantwoordelijke (controller in het Engels) voor de verwerking van de persoonsgegevens of is uw bedrijf slechts de verwerker (processor in het Engels), of is uw bedrijf beiden? Of is uw bedrijfs zelfs de subverwerker (sub processor)?

Het basisprincipe van de verantwoordelijke is: U bent verantwoordelijk voor persoonsgegevens dus zult u zicht moeten hebben op wat er gebeurd met die gegevens. Ook wanneer die gegevens doorgespeeld worden aan een derde om deze slechts te verwerken. U heeft als verantwoordelijke zwaardere plichten dan als verwerker. Dat is een reden waarom de AVG de verwerkersovereenkomst verplicht heeft gesteld. Daarin wordt de verdeling van verantwoordelijkheden tussen verantwoordelijke en verwerker verder contractueel uitgewerkt.

Verbetertaak uit de nulmeting: sluit verwerkersovereenkomsten.

Een hele belangrijke verbetertaak die uit de nulmetingen rolt is vaak het sluiten van verwerkersovereenkomsten met partijen waar dat nog niet mee is gedaan. Ook kan het screenen van reeds enige tijd afgesloten verwerkersovereenkomsten een verbetertaak zijn, om te toetsen of deze wel voldoen aan de minimale nieuwe eisen die de AVG eraan stelt. Zowel de (verwerkings)verantwoordelijke als de verwerker hebben de plicht om een verwerkersovereenkomst af te sluiten.

Is er altijd een verwerkersovereenkomst nodig?

Nee niet altijd. Dat is bijvoorbeeld wel het geval:

Voorbeeld #1: Uw organisatie is een cateringbedrijf en u legt de persoonsgegevens van al uw personeel vast in een arbeidsovereenkomst, in het personeelsdossier en in de loonadministratie. Dan bent u verantwoordelijke. Als u deze persoonsgegevens doorgeeft aan een externe salarisadministrateur, dan is dit kantoor: de verwerker. Stel dit kantoor voert weer die salarisadministratie uit met behulp van een extern gehost (Saas) HRM softwarepakket, dan is die softwareleverancier weer een subverwerker.

Dat is bijvoorbeeld niet het geval in de onderstaande twee gevallen:

Voorbeeld #2:  U bent advocaat en u stuurt ten behoeve van een werkgever, uw cliënt,  een e-mail met uw standpunt in een bepaalde arbeidszaak omtrent een bepaalde werknemer die u noemt met naam en toenaam erin door aan uw concullega. Dat is geen verwerking van persoonsgegevens ten opzichte van uw cliënt. Immers de opdracht van uw cliënt is niet gericht op verwerken van persoonsgegevens maar gericht op het afnemen van juridisch advies, uw ondersteuning bij het oplossen van een juridisch probleem. U als advocaat verwerkt die gegevens geheel op eigen verantwoordelijkheid op een manier dat u zelf bepaalt. Daarom bent u verantwoordelijke. Dan is er ook geen verwerkersovereenkomst nodig.

Voorbeeld #2. Hoe zit het nou met hoofdaannemer die gegevens opvraagt van personeel in dienst bij onderaannemer om te voldoen aan de WAV, WKA etc. De onderaannemer vergaart die gegevens niet alleen voor de hoofdaannemer maar ook voor zichzelf. Maak daar goede afspraken zodra de gegevens worden doorgestuurd. Meldingsplicht opleggen aan hoofdaannemer als er data lekken voorkomen bij hen. Geen bewerkingsovereenkomst is nodig tussen hoofdaannemer en onderaannemers omdat zij ieder hun eigen verantwoordelijkheid hebben. Doorgeven van gegevens is niet in het kader van gegevensverwerking maar in het kader van de onderaanneming.

Onderhandelen over een verwerkersovereenkomst.

Degene die het eerste met een eigen versie komt, heeft meestal het onderhandelingsvoordeel. U bent dan penvoerder en aanpassingen gedaan krijgen in het document van een ander is altijd lastiger. In onze MKB privacy Portal kunt u op maat zulke verwerkersovereenkomst in een handomdraai maken. Uiteraard kan het zijn dat grote partijen, corporates alsnog met hun eigen versie komen en u niet in de onderhandelingspositie bent om met uw eigen versie te komen. Alsnog is het dan raadzaam om die kritisch te screenen en niet zomaar alles te accepteren wat daar in staat. Dat kan enorme consequenties hebben. Juist als het om grote wederpartijen gaat die diepe zakken hebben om te procederen. Bij een datalek zal deze genoeg geld en tijd hebben om via de rechter een schadeclaim neer te leggen bij uw organisatie op grond van de verwerkersovereenkomst. U staat dan 2-0 achter als u niet uw aansprakelijkheid heeft beperkt in het voortraject tijdens het sluiten van de overeenkomst. Een cyberrisk verzekering kan dan ook een vangnet vormen en de kosten van uw rechtsbijstand wellicht dekken.

Wat legt u vast in een verwerkersovereenkomst?

In de verwerkersovereenkomst legt u bijvoorbeeld vast waar de persoonsgegevens voor mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden en waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een audit uit te voeren en of de verwerker subverwerkers mag inschakelen voor de verwerking. In principe mag u deze overeenkomst niet in de algemene voorwaarden verstoppen maar in een afzonderlijk document. Echter dat is niet dwingend opgelegd. Er gaan kritisch geluiden van experts dat het gewoon verwerkt moet kunnen worden in bestaande documenten dus ook in de algemene voorwaarden.

Heeft u vragen over dit onderwerp, of interesse in de diensten van TLPC, zoals de AVG nulmeting, de MKB privacy portal of privacy consultancy diensten, bel of mail ons dan op 020-3450152 of info@thelegalprivacycompany.com Surf vooral ook naar www.thelegalprivacycompany.com

Interessant artikel? Deel het: