Wanneer zijn we klaar met de AVG? Of: Hoeveel tijd kost het nog om de AVG geïmplementeerd te hebben?
Deze vragen geven het gevoel dat het voldoen aan de AVG een eenmalige inspanning vraagt. Niets is minder waar. De AVG vertelt ons dat het voldoen aan de AVG niet een eenmalige actie is, maar continue aandacht vereist. Deze continue aandacht is ook nodig voor de afspraken die je als verantwoordelijke maakt met jouw leveranciers.
Hoe doe ik dat dan?
Om antwoord te geven op die vraag, is het belangrijk om éérst te weten welke afspraken er gemaakt moeten worden. Die moeten op de juiste wijze beschreven zijn en, voor alle betrokken partijen, geen onduidelijkheden bevatten. Maar, alleen de papieren afspraken garanderen nog niet dat die afspraken ook daadwerkelijk uitgevoerd worden. Als opdrachtgever en (verwerkings)verantwoordelijke is het juist jouw taak om te controleren of de afspraken die zijn gemaakt worden nageleefd. Feitelijk begint dat al bij de keuze van jouw leverancier.
Selectie van leverancier
Als je van plan bent om diensten uit te besteden, zul je van te voren na moeten denken over de afspraken die je als verantwoordelijke met jouw leverancier maakt. In dit geval hebben we het niet over tarieven of de duur van de dienstverlening, maar hoe jouw leverancier om dient te gaan met de persoonsgegevens. Je blijft als opdrachtgever tenslotte verantwoordelijk voor de verwerking van die persoonsgegevens. Ook als de werkzaamheden in jouw opdracht door een derde partij worden uitgevoerd.
Als verantwoordelijke leg je eisen voor passende organisatorische en technische maatregelen op aan jouw leverancier. Die eisen kunnen wijzigen door bijvoorbeeld veranderende (cybersecurity)risico’s, technische veranderingen of verandering van de dienstverlening in de loop van de tijd. Hierdoor kan het zijn dat deze eisen niet meer voldoen aan het uitgangspunt “Rekening houdend met de stand van de techniek”.
Toetsen van afspraken
Nadat je als verantwoordelijke een contract bent aangegaan met jouw leverancier, blijf je verantwoordelijk voor de verwerking van de persoonsgegevens door jouw leverancier. Daarom leg je de gemaakte afspraken vast in, bijvoorbeeld, een verwerkersovereenkomst. De minimale afspraken zijn te herleiden uit de AVG.
Na afloop van het contract
In de AVG is beschreven dat er afspraken vastlegt moeten worden voor als de verwerking is voltooid. Als er wettelijke verplichtingen zijn om de verwerkte gegevens te bewaren, dan zul je als verantwoordelijke afspraken moeten maken over de overdracht van die gegevens naar jouw eigen omgeving.
Je kunt daar van te voren over nadenken of op het moment dat de dienstverlening eindigt. Echter zijn er situaties dat er geen nieuwe afspraken gemaakt kunnen worden, zoals in het geval van een bedrijfsbeëindiging of een faillissement. Daarom is het aan te raden om voor die scenario’s al afspraken vast te hebben liggen.
Bron: PMPartners
Implementatie en werken volgens de wet
De cursus praktische toepassing AVG & Uitvoeringswet UAVG geeft je praktijkgerichte uitleg over de werking van de Algemene Verordening Gegevensbescherming. Je leert stap voor stap hoe je vanuit de AVG dient om te gaan met privacyvraagstukken, hoe je kennis deelt en informatie uitwisselt zonder hierbij inbreuk te maken op de privacy.
Bezoek de website