09:46
28 maart 2024

Artikelreeks AVG – Artikel 3: Wisselt uw gegevens over cliënten uit in een netwerk met anderen?

Artikelreeks AVG – Artikel 3: Wisselt uw gegevens over cliënten uit in een netwerk met anderen?

Van 31 mei tot en met 12 juni publiceren we elke (werk)dag een artikel over de implementatie van de AVG. Geschreven door Marius van Rijswijk, senior consultant bij Verdonck, Klooster & Associates (VKA).

Artikel 3: Wisselt uw gegevens over cliënten uit in een netwerk met anderen?

Het is belangrijk om vast te stellen of andere organisaties persoonsgegevens voor u verwerken (de zogenaamde ‘verwerker’). Als dit het geval is bent u voor de privacywet de ‘verwerkingsverantwoordelijke’ en is het belangrijk dat u duidelijke afspraken maakt over de wijze waarop deze ‘verwerker’ omgaat met de persoonsgegevens die zij voor u verwerken. Deze afspraken kunnen vastgelegd worden in een verwerkersovereenkomst. U zult ook moeten voorzien in adequate procedures om datalekken op te sporen, te rapporteren en te onderzoek. Hoe pakt u dit gestructureerd aan?

Eerst bepaalt u de ‘verwerkingsverantwoordelijke’. Daarvoor moet u eerst weten welke (bijzondere) persoonsgegevens u verwerkt. In artikel 3 is hieraan aandacht besteedt. U heeft hebt immers de verwerkingen vastgelegd in een register. Deze kan dus als basis dienen. De volgende vraag is wie de ‘verwerkingsverantwoordelijke’ is en wie de ‘verwerker’. De privacywetgeving stelt dat degene die het doel en de middelen bepaalt in privacy termen ‘de verwerkingsverantwoordelijke’ is. Is dat het geval dan zult u het initiatief moeten nemen tot het sluiten van een verwerkersovereenkomst. Inventariseer dus per partij met wie u persoonsgegevens uitwisselt en wie het doel en de middelen bepaalt. Beide partijen hebben specifieke plichten om de beveiliging van persoonsgegevens goed te regelen. Privacy is immers teamwork.

Als u vastgesteld heeft in welke situaties u verantwoordelijke bent is het van belang dat u met de verwerker een verwerkersovereenkomst gaat sluiten. In de AVG staan afspraken die u verplicht moet maken met uw verwerker. Ga in overleg met een jurist, dit is immers een specialistische taak.
Vervolgens is van belang om met de verwerker te kijken naar welke beveiligingsmaatregelen er door de verwerker getroffen moeten worden, passend bij het soort gegevensverwerking. U doet er verstandig aan ook deze contractueel vast te laten leggen en de ICT-afdeling, de systeembeheerder of de security officer met dit onderdeel mee te laten kijken.

Als laatste is het inrichten van een datalekprotocol belangrijk. Het belangrijkste daarbij is dat u de medewerkers informeert over wat een beveiligingsincident en een datalek is. Bijvoorbeeld via een interne nieuwsbrief, het intranet of een ander communicatiemiddel. Vervolgens is het belangrijk dat medewerkers een beveiligingsincident of datalek kunnen melden op eenvoudige en toegankelijke wijze. Dit kan bijvoorbeeld via een formulier op intranet. Ook zult u deze meldingen moeten registreren en daarom is het aan te bevelen om een register aan te leggen waarin u de meldingen vastlegt.

In het volgende artikel wordt ingegaan op het Privacy Impact Assessment (PIA). Te vaak worden PIA’s uitgevoerd terwijl dat niet strikt noodzakelijk is. Wanneer moet uw nu precies een PIA uitvoeren?

Marius van Rijswijk is ook een van de sprekers op het HCB Seminar ‘AVG-Proof na 1.5 jaar – Voor kinderopvang, basisonderwijs en kindcentra’ dat georganiseerd wordt door het Haags Congres Bureau op 22 november in Utrecht. Verder met Ina Brouwer, advocaat bij Borg Advocaten en Ard Jan Dunnik, advocaat bij Coupry. Korting voor oud deelnemers Haags Congres Bureau en voor leden van BMK.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *