Magnifying glass Close

Adblocker is geactiveerd!

Op deze website worden advertenties getoond. Van de advertenties wordt de redactie betaald. De redactie verzorgt het nieuws op deze website. Zonder advertenties geen nieuws. Zou je je adblocker daarom willen uitschakelen

Verlies uw aandacht voor de AVG niet

In aanloop naar 25 mei besteedden organisaties veel tijd en moeite aan de implementatie van de AVG. We ontvingen dagelijks updates van privacy policy’s in onze mailbox en er werden vele verwerkersovereenkomsten getekend. Inmiddels is de storm weer wat geluwd. Voldoen aan de AVG is echter geen eenmalige operatie. Dat geldt zeker voor inkopers, die een belangrijke rol vervullen in het AVG-proces.

Voldoen aan AVG minder belangrijk?!

Na de hevige druk om de deadline te halen, lijkt de toon na 25 mei veranderd. De Belastingdienst, zo constateert de staatssecretaris van Financiën, voldoet nog niet volledig aan de nieuwe privacywetgeving. Maatregelen zijn getroffen, maar de verwachting is dat men nog een jaar nodig zal hebben. Ook het MKB bleek, in ieder geval kort voor 25 mei, nog niet klaar te zijn. De Autoriteit Persoonsgegevens liet eerder weten er niet op uit te zijn boetes op te leggen aan de duizenden (sport)verenigingen die met de AVG worstelden en hun zaken nog niet hadden geregeld. De realiteit is – en dat weten we allemaal – dat op tal van plaatsen compliance nog een illusie is.

Ondanks de veranderde tone of voice is het van belang dat organisaties doorzetten. De AVG is van kracht en, hoewel misschien enige coulance op korte termijn nog wel valt te verwachten,  is de noodzaak niet verdwenen. Ook bij uw organisatie kan de Autoriteit Persoonsgegevens aankloppen.

Grote rol inkopers bij AVG-implementatie

Inkopers hebben in mijn beleving een flink deel van het werk rond de AVG-implementatie opgepakt. In de afgelopen periode hebben inkopers hun contractenportefeuille geëvalueerd in het licht van de AVG. Daarbij speelden vragen als:

  • Vindt onder de desbetreffende contracten verwerking van persoonsgegevens plaats?
  • Zo ja, welke (wettelijke) rol hebben de partijen (Verwerker, Verantwoordelijke of (mede)Verantwoordelijke) en wat zijn de implicaties daarvan?
  • Welke risico’s kunnen worden geïdentificeerd (uitvoering van een privacy impact assessment, kortweg PIA)?
  • Moet een verwerkersovereenkomst worden afgesloten (na eventuele reeds bestaande bewerkersovereenkomst te hebben getoetst)? 

Inkoopcontracten zijn en blijven een belangrijk punt van aandacht om te voldoen aan de AVG. Het valt dan ook te verwachten dat inkopers en contractmanagers een voorname rol blijven vervullen.

The next step: van project naar proces

Nu 25 mei is gepasseerd is het onderwerp nog niet voorbij. Compliance met de AVG is geen eenmalige operatie. In de uitvoeringsfase van contracten moeten deze voortdurend getoetst worden aan de AVG. Denk aan: 

  • Worden de gemaakte afspraken in verwerkersovereenkomsten nagekomen (aan beide zijden van het contract)?
  • Zijn er wijzigingen in de werkzaamheden en mogelijk dus ook ten aanzien van de verwerking van persoonsgegevens? 
  • Worden technische en organisatorische maatregelen nageleefd en zijn deze nog immer afdoende? 
  • Moet of is het raadzaam om (opnieuw) een PIA uit te voeren?
  • Zijn er nieuwe subverwerkers in beeld (gekomen) en is dit gegaan in lijn met gemaakte afspraken?

Kortom, het project AVG-compliance van de afgelopen periode is vooral het beginpunt van een continu proces. Het proces dient binnen de organisatie geborgd te worden. Inkopers kunnen hier een waardevolle bijdrage aan leveren, wat tegelijkertijd een mooie uitbreiding van hun takenpakket kan betekenen.  

 

Partner van Inkoperscafé
Partner van Inkoperscafé

Reacties

Partner van Inkoperscafé
Sluiten

Inloggen met

of met e-mailadres