Magnifying glass Close

Adblocker is geactiveerd!

Op deze website worden advertenties getoond. Van de advertenties wordt de redactie betaald. De redactie verzorgt het nieuws op deze website. Zonder advertenties geen nieuws. Zou je je adblocker daarom willen uitschakelen

Inkoop doet er goed aan scherp te letten op privacy en de AVG

De Algemene Verordening Gegevensbescherming (AVG) regelt per 25 mei 2018 de omgang met privacy. Deze Europese verordening staat ook bekend onder de Engelse naam General Data Protection Regulation (GDPR). De AVG betekent meer privacy-verantwoordelijkheden voor je organisatie. Ook de inkoop moet rekening houden met de eisen vanuit de AVG. Dat speelt met name bij de samenwerking met leveranciers.

De AVG geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, medewerkers of andere personen. Het gaat om alle gegevens die te maken hebben met ‘tot een persoon herleidbare informatie’. Denk aan genetische, mentale, culturele, economische of sociale gegevens. De activiteiten van bedrijven vallen daarmee snel onder de AVG. Naast namen en adressen vallen ook gegevens gekoppeld aan IP-adressen, cookies en dergelijke onder de AVG. Ook als je niet weet wie er schuilgaat achter deze gegevens, moet je ze nog als privacygevoelig behandelen.

De essentie van de AVG is dat je alleen persoonsgegevens mag verwerken als dat echt niet anders kan. Dat betekent dat je zonder deze gegevens je doel niet kunt bereiken. Op basis van de verantwoordingsplicht van de AVG moet je kunnen aantonen dat je je aan de wet houdt. Dat moet met documenten die bewijzen dat je organisatie de juiste organisatorische en technische maatregelen heeft getroffen om aan de AVG te voldoen.

Data protection impact assessment
Een data protection impact assessment (DPIA) of gegevensbeschermingseffectbeoordeling is verplicht als er een hoog privacyrisico kan optreden bij je gegevensverwerking. Je inventariseert dan vooraf de privacyrisico’s van gegevensverwerking, waarna je maatregelen kunt treffen om de risico’s te verkleinen. Ook in andere gevallen is een DPIA een aanrader, omdat deze informatie oplevert voor de verwerkersovereenkomst. De beoordeling kent vier onderdelen: een beschrijving van de kenmerken van gegevensverwerkingen, een beoordeling van de rechtmatigheid van gegevensverwerkingen, een beschrijving en beoordeling van de risico’s voor de betrokkenen en een beschrijving van voorgenomen maatregelen.

Verwerkersovereenkomsten
Een centrale rol bij inkoop en privacy spelen de verwerkersovereenkomsten. “Inkoop zal met name een rol hebben of kunnen spelen bij de verwerking van persoonsgegevens in het kader van verwerking door verwerkers (leveranciers of dienstverleners)”, stelt Robert Grandia. Hij is advocaat bij ICT-advocatenkantoor Legalz en is gespecialiseerd in ICT-contracten en de AVG.

Het is voor een verwerkersovereenkomst allereerst belangrijk dat je bepaalt welke rol je organisatie heeft: gegevensverantwoordelijke of verwerker. Als je organisatie gegevensverantwoordelijke is, dan moet je met leveranciers (of andere dienstverleners) verwerkersovereenkomsten afsluiten als zij persoonsgegevens verwerken waarvoor jouw organisatie verantwoordelijk is. Die gegevens kunnen heel divers zijn, van factuurgegevens en adresgegevens tot contracten met uitzendkrachten, onkostendeclaraties en persoonsgegevens in verzekeringen.

Met een verwerkersovereenkomst sluit je als gegevensverantwoordelijke uit dat de andere partij de persoonsgegevens voor eigen doelen verwerkt. Verder staan in de verwerkersovereenkomst bepalingen over de verantwoordelijkheden van beide partijen, een geheimhoudingsplicht, het nemen van beveiligingsmaatregelen, het doorgeven van gegevens aan subverwerkers, afspraken over datalekken en afhandeling van eventuele boetes van de Autoriteit Persoonsgegevens (AP). Ook als je de gegevensverwerking door een verwerker laat uitvoeren, blijf je nog steeds verantwoordelijk voor de naleving van de AVG. Voor de verwerkersovereenkomst kun je de gegevens gebruiken die uit de DPIA komen.

Veel (vooral grotere) organisaties sturen hun leveranciers ter ondertekening een model-verwerkersovereenkomst. Ga daarbij niet teveel op de stoel van de leverancier zitten. Schrijf bijvoorbeeld voor welke risico’s deze beperkt, maar niet hoe hij dat doet. De verwerkersovereenkomst wordt volgens Grandia nog te vaak gezien als een juridisch document. “De kern van de verwerkersovereenkomst is echter om concreet in kaart te brengen welke verwerkingen van persoonsgegevens plaatsvinden en welke passende technische en organisatorische maatregelen worden getroffen. Te vaak blijkt de totstandkoming van de verwerkersovereenkomst echter voor een belangrijk deel een juridische strijd te worden over aansprakelijkheden en vrijwaringsverplichtingen bij schade. Een meer open dialoog tussen de gegevensverantwoordelijke en verwerker en een bijbehorende gerichtheid op de kern van de zaak zou de voorkeur hebben.”

Registratie toegang persoonsgegevens
Let erop dat je onder de AVG goed registreert wie toegang had tot de persoonsgegevens die jij of een leverancier verwerkt. Organisaties met meer dan 250 werknemers zijn verplicht om hiervoor een verwerkingsregister aan te leggen. Heeft een organisatie minder dan 250 werknemers dan is een verwerkingsregister nodig als de verwerking van persoonsgegevens niet incidenteel is of je persoonsgegevens met een hoog privacyrisico verwerkt. Dat geldt ook voor de verwerking van bijzondere persoonsgegevens, zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens. Van een niet-incidentele verwerking is al snel sprake, dus daarmee is het verwerkingsregister ook voor veel kleinere organisaties verplicht. Het is belangrijk om met andere afdelingen af te stemmen welke persoonlijke informatie waar is vastgelegd. Ook moet je betrokkenen informeren wie hun gegevens heeft gezien als zij daarom vragen.

Datalekken
Volgens de Autoriteit Persoonsgegevens (AP) gaat het bij een datalek om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Of zonder dat dit wettelijk is toegestaan. De meldplicht datalekken vanuit de AVG betekent dat organisaties (bedrijven en overheden) direct een melding moeten doen bij de AP zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de mensen van wie persoonsgegevens zijn gelekt.

Als je organisatie persoonsgegevens verwerkt, dan moet je alle datalekken in je organisatie documenteren. Dat moet volgens de AVG gebeuren met een datalekregister. Hierin houd je de datalekken bij die er in je organisatie zijn geweest. In dat register leg je niet alleen de datalekken vast die je aan de AP hebt gemeld. Ook de minder ernstige datalekken neem je op in het register.

Je kunt zo’n datalek ook als inkoper tegenkomen. Als het goed is, heeft je organisatie hiervoor een protocol. Als dit niet het geval is dan doe je er goed aan hierover te overleggen met je management. Maak daarnaast met verwerkers duidelijke afspraken over datalekken. Grandia: “Het is raadzaam om in de verwerkersovereenkomst concrete afspraken vast te leggen over de wijze waarop de verwerker datalekken (en beveiligingsincidenten) bekend maakt bij de opdrachtgever/afnemer (gegevensverantwoordelijke).”

Goede controle
Voor inkoop is het belangrijk om bestaande leverancierscontracten te controleren op de verwerking van persoonsgegevens en de bepalingen over gegevensbescherming te bekijken. Kijk daarnaast kritisch naar de AVG-aanpak van nieuwe leveranciers. Vraag om harde garanties met betrekking tot de maatregelen die leveranciers hebben getroffen. Controleer ook in de eigen systemen in hoeverre privacygevoelige informatie is vastgelegd, zoals vertrouwelijke onkostendeclaraties van medewerkers en bestaande verzekeringspolissen. Let erop dat processen zo zijn ingericht dat ze voldoen aan de meldingsplicht datalekken.

Omgaan met kosten
Je hebt bij gegevensverwerking te maken met kosten voor opslag, encryptie en nieuwe manieren van transport van data. Bepaal hoe je omgaat met deze kosten en of je deze als organisatie accepteert of dat je ze (deels) bij de leverancier neerlegt. In de algemene inkoopvoorwaarden staat vaak dat de leverancier tijdens de lopende contractperiode moet voldoen aan de vigerende wetgeving. Het ligt dan voor de hand dat de leverancier de kosten draagt.

Privacy blijft aandachtspunt
Uit onderzoek van Capgemini Research Institute van september 2019 bleek dat een jaar na de invoering van de AVG slechts 28 procent van de Nederlandse bedrijven eraan voldeed.

Grandia: “Veel organisaties gingen eerst in 2018 in de aanloop naar de inwerkingtreding van de AVG, of pas daarna, over tot inbedding van AVG-compliance (naleving regels) in de organisatie, onder andere door het sluiten van verwerkersovereenkomsten met leveranciers. Dat bleek een zware operatie en na 28 mei 2018 zag je dat veel organisaties hier nog niet mee klaar waren.”

Ook nu is AVG-compliance volgens Grandia nog steeds een aandachtspunt. “In het kader daarvan moeten organisaties zich ook beraden op monitoring van verwerking door verwerkers. Dat kan bijvoorbeeld door beveiligingsmaatregelen te monitoren voor de nakoming van de in verwerkersovereenkomsten gemaakte afspraken en de gewenste bijstelling daarvan. Die monitoring kan plaatsvinden met periodieke audits.”

Partner van Inkoperscafé
Partner van Inkoperscafé

Reacties

Partner van Inkoperscafé
Sluiten

Inloggen met

of met e-mailadres