De AVG in contracten, een goede start

5 apr

Vanaf 25 mei 2018 is de Europese verordening Algemene Verordening Gegevensbescherming (AVG) van toepassing. Vanaf dat moment geldt er EU-breed dezelfde regelgeving. De gevolgen voor organisaties die met de verwerking van persoonsgegevens te maken hebben zijn verstrekkend. Vanwege hoge boetes, maar ook vanwege de brede toepassing van de wet. De AVG geldt namelijk voor alle organisaties die persoonsgegevens van Europese burgers verwerken, op EU grondgebied en daarbuiten, digitaal of op papier, betaald en onbetaald.

Organisaties hebben tot 25 mei 2018 de tijd om hun bedrijfsvoering AVG-proof te maken. Daarna mag iedereen organisaties op de naleving van de AVG aanspreken. Als organisaties (gedeeltelijk) verantwoordelijke zijn voor de verwerking van persoonsgegevens, moeten zij via hun contracten zorgen dat opdrachtnemers die voor hen persoonsgegevens verwerken, de AVG naleven. Doen zij dat niet, dan kunnen persoonsgegevens op straat komen te liggen, wordt de wet niet nageleefd en riskeert de verantwoordelijke organisaties hoge boetes. De tijd dringt dus ook voor inkopers om hiermee aan de slag te gaan!

Voor organisaties in het algemeen zijn de volgende stappen essentieel voor een goede start:

  1. Breng gestructureerd de persoonsgegevens die worden verwerkt binnen de organisatie in kaart. Het gaat hierbij onder andere om de vragen: welke persoonsgegevens, waarom, door wie en met wie worden zij gedeeld.
  2. Ga na of de organisatie verplicht is om een functionaris gegevensbescherming aan te stellen. Dit is in ieder geval verplicht voor: overheden en publieke instanties, organisaties die als kernactiviteit grootschalig individuen volgen en organisaties die als kernactiviteit grootschalig bijzondere persoonsgegevens verwerken. Deze functionaris is kort gezegd de centrale persoon binnen de organisatie die kennis heeft van de bescherming van persoonsgegevens. Het is dan ook belangrijk dat deze persoon goed bekend en vindbaar is binnen de organisatie!

Voor inkopers zijn de volgende stappen essentieel voor een goede start:

  1. Waarborg privacy bewustzijn bij het hele inkoopteam gedurende het hele inkoopproces: in de voorbereiding, tijdens de inkoopprocedure en tijdens de uitvoering van het contract.
  2. Denk bij de start van ieder inkoopproces goed na of er sprake is van de verwerking van persoonsgegevens. Bij ja en bij twijfel: raadpleeg de functionaris persoonsgegevens. Houd in meer of mindere mate, afhankelijk van de gegevensverwerking, deze functionaris betrokken in alle fases van het inkoopproces.
  3. Zorg voor een goede verwerkersovereenkomst. Hoewel bij iedere opdracht concreet moet gekeken worden naar de exacte invulling van de verwerkersovereenkomst, is een goede basis verwerkersovereenkomst die toegespitsts is op de organisatie al het halve werk.
  4. Ga alle bestaande overeenkomsten na en zorg dat de nieuwe verplichtingen en rechten uit de AVG worden verwerkt.

Meer weten? Houd onze website goed in de gaten want wij komen binnenkort met een uitgebreid artikel voor inkopers en de AVG!