Samenwerken vergt goede afspraken

Adfiz

Vanaf 25 mei 2018 gelden er nieuwe regels voor de bescherming van persoonsgegevens van betrokkenen. In onze vorige bijdrage hebben we aangegeven welke vragen betrokkenen kunnen stellen en hoe u daarmee om moet gaan. In dit artikel nadere uitleg over samenwerking met andere partijen.

Als verwerkingsverantwoordelijke voor persoonsgegevens, kun je met andere partijen samenwerken, waarbij ook persoonsgegevens worden gedeeld. Dat is mogelijk bij de invoer van gegevens in een externe adviesapplicatie of bij een direct-marketingactie, waarbij gegevens aan een marketingbureau worden gestuurd. In deze gevallen is de andere partij te beschouwen als verwerker voor de AVG. Als de verwerker op zijn beurt weer een andere partij wil inschakelen, de sub-verwerker, dan mag dat alleen met toestemming van de verwerkingsverantwoordelijke. Je bent verwerkingsverantwoordelijke als je het doel en de middelen voor de gegevensverwerking bepaalt. Belangrijk om te weten is, dat de verwerker alleen in opdracht van de verwerkingsverantwoordelijke, volgens overeengekomen afspraken, persoonsgegevens mag verwerken. De verwerker mag de gegevens niet voor eigen doeleinden of onder zijn eigen gezag verwerken. De afspraken die je als verwerkingsverantwoordelijke maakt met de verwerker worden vastgelegd in een overeenkomst. Dat kan een afzonderlijke overeenkomst zijn, de zogenaamde verwerkersovereenkomst, of een andere overeenkomst, waarin de afspraken met betrekking tot de bescherming van persoonsgegevens zijn vastgelegd. In de verwerkersovereenkomst worden in ieder geval het onderwerp en de duur van de verwerking, de aard en het doel, het soort persoonsgegevens en de categorieën van betrokkenen opgenomen. De doelen van de verwerking worden uitsluitend door de verwerkingsverantwoordelijke vastgesteld.

Garanties

De AVG vermeldt ook andere onderwerpen die in de overeenkomst moeten worden geregeld. Zeer belangrijk is dat de verwerker afdoende garanties moet kunnen bieden met betrekking tot passende technische en organisatorische maatregelen, om te kunnen voldoen aan de vereisten van de AVG. Denk daarbij aan beveiligingsmaatregelen; de toegang tot de persoonsgegevens door personeel van de verwerker en de beveiliging van locaties of systemen. Uiteraard moet ook een duidelijke afspraak worden gemaakt over de handel

‘Afspraken vastleggen in overeenkomst’

wijze als er sprake is van een beveiligingsincident of een datalek. Leg daarbij bijvoorbeeld vast wie onderzoek naar een incident uitvoert en wie een eventuele melding moet doen bij de Autoriteit Persoonsgegevens of de betrokkene. Tenslotte is van belang dat je als verwerkingsverantwoordelijke de mogelijkheid vastlegt, om controles uit te voeren op naleving van de verplichtingen uit de verwerkersovereenkomst. Als verwerkingsverantwoordelijke ben en blijf je immers verantwoordelijk voor de bescherming van de betreffende persoonsgegevens.

Vastleggen

Voor de bescherming van persoonsgegevens bij de samenwerking met een verwerker is het belangrijk om alle afspraken grondig vast te leggen in een verwerkersovereenkomst. Je kunt daarvoor zelf een model gebruiken of een juridisch adviseur raadplegen. Adfiz geeft haar leden over dit en andere onderwerpen met betrekking tot de AVG duidelijke uitleg en waar nodig ondersteunt zij hen met praktische tips en tools.

Deze bijdrage wordt u aangeboden door Adfiz

 

Reactie toevoegen

 
Lees meer over
Register AVG biedt handig overzicht

Register AVG biedt handig overzicht

Vanaf 25 mei 2018 gelden er nieuwe regels voor de bescherming van persoonsgegevens van betrokkenen.  Adfiz geeft in een artikel in VVP 3 uitleg over het register...

Register biedt handig overzicht

Register biedt handig overzicht

Vanaf 25 mei 2018 gelden er nieuwe regels voor de bescherming van persoonsgegevens van betrokkenen. In dit stuk geeft Adfiz uitleg over het register van verwerkingsactiviteiten....

Helft mkb klaar voor privacywetgeving

Helft mkb klaar voor privacywetgeving

Meer dan de helft van de ondernemers heeft het interne privacybeleid op orde en heeft dit beleid gedeeld met de medewerkers. Iets minder dan de helft van het mkb...

Adfiz stelt Privacy Portaal open voor hele markt

Adfiz stelt Privacy Portaal open voor hele markt

Adfiz stelt het online kennisdossier Privacy open voor de hele markt. Adfiz heeft de AVG die op 25 mei in werking treedt samen met een klankbordgroep van specialisten...

Adfiz en Verbond: verwerkersovereenkomsten niet nodig

Adfiz en Verbond: verwerkersovereenkomsten niet nodig

Verzekeraars en intermediair moeten van alles doen om zich voor te bereiden op de Algemene Verordening Gegevensbescherming (Avg), maar ze hoeven onderling geen verwerkingsovereenkomsten...

AVG: welke informatie dienen adviseurs te verstrekken?

AVG: welke informatie dienen adviseurs te verstrekken?

Vanaf 25 mei 2018 gelden er nieuwe regels voor de bescherming van persoonsgegevens van betrokkenen. In dit stuk geven we uitleg over de informatie die je moet...