ICTWaarborg
Alwéér een artikel over de AVG?! Ja inderdaad, alwéér een artikel over de Algemene Verordening Gegevensbescherming. En dat is niet voor niks. Afgelopen maand hebben wij diverse seminars georganiseerd over de AVG, we hebben nieuwe, AVG-proof, juridische documenten opgesteld en een stappenplan gedeeld waarmee onze deelnemers goed voorbereid zijn op de AVG. Maar nieuwe wetgeving is nou eenmaal lastig, we krijgen dan ook veel vragen. In dit artikel vindt u de drie meest gestelde vragen over de AVG. Natuurlijk met een goed antwoord waarmee u aan de slag kunt!
2. Moet u een verwerkersovereenkomst sluiten als u persoonsgegevens alleen opslaat?
1. Wanneer bent u verantwoordelijke, verwerker of subverwerker?
Biedt u als ICT-dienstverlener één type dienst aan die steeds hetzelfde is, dan kunt u een sectie met betrekking tot de verwerking van persoonsgegevens in uw Algemene Voorwaarden opnemen. U dient dan de categorieën betrokkenen en persoonsgegevens die u verwerkt hierin te benoemen. Voor de meeste ICT-dienstverleners geldt echter dat zij meer dan één type dienst aanbieden. Dan moet u werken met (sub)verwerkersovereenkomsten. Gebruikt u branchevoorwaarden, bijvoorbeeld van ICTWaarborg, dan moet u ook werken met (sub)verwerkersovereenkomsten. Branchevoorwaarden dekken een breed scala aan diensten, waardoor het onmogelijk is alle categorieën persoonsgegevens en betrokkenen hierin te benoemen. Goede voorbereiding Zorg ervoor dat u goed voorbereid bent op de AVG. Overtreedt u straks de AVG, dan kan de Autoriteit Persoonsgegevens boetes opleggen tot 20 miljoen euro of 4% van uw wereldwijde jaaromzet. Wilt u meer informatie over hoe u uw organisatie AVG-proof maakt? Neem dan contact met ons op via 088 77 300 72 of mail naar info@ictwaarborg.nl.
Het is belangrijk om te bepalen welke rol u heeft in een samenwerking. Verzamelt u zelf de persoonsgegevens van betrokkenen? Dan bent u de verantwoordelijke. Schakelt u daarna een derde partij in om iets met deze gegevens te doen, dan is deze derde partij de verwerker. Schakelt deze weer een derde partij in die ook iets met de gegevens doet, dan is dat de subverwerker.
Als ICT-dienstverlener zult u veelal de rol van verwerker of subverwerker hebben. Gegevens worden verzameld door uw klant die u vraagt hier iets mee te doen. De overeenkomst die u hiervoor nodig heeft, is de verwerkersovereenkomst waarbij u de verwerker bent. Het kan ook anders zijn. Stel u schakelt een salarisadministrateur in die voor u de loonadministratie verzorgt. In zo’n geval bent u de verantwoordelijke die de persoonsgegevens van uw personeel verzamelt en aan een derde verstrekt om te verwerken. In dat geval heeft u de verwerkersovereenkomst nodig waarbij u de verantwoordelijke bent.
Ja. De criteria die de AVG voor het verwerken van persoonsgegevens hanteert, zijn extreem breed. In principe moet u ervan uitgaan dat wanneer u zelfs maar “iets” met de persoonsgegevens doet, u al als verwerker opereert. En daarvoor moet u onder de AVG een verwerkersovereenkomst sluiten. Dit geldt overigens ook wanneer er slechts de theoretische mogelijkheid bestaat dat u toegang zou hebben tot persoonsgegevens of deze zou kunnen inzien.
3. Kan de (sub)verwerkersovereenkomst opgenomen worden in uw Algemene Voorwaarden?
Daniëlle Evers
Directeur ICTWaarborg
16
TBM /// DECEMBER 2017
