Verantwoordelijke of verwerker?
Uitwisselen moet u in dit kader heel breed zien. Ook het invoeren van gegevens in bijv. uitzendsoftware die niet op uw eigen server staat, valt hier al onder. Het is daarom belangrijk om vast te stellen welke andere organisaties persoonsgegevens voor u verwerken (de zogenaamde ‘verwerker’). Voor de privacywet bent u namelijk de ‘verwerkingsverantwoordelijke’ en u moet duidelijke afspraken maken over de manier waarop deze ‘verwerker’ omgaat met de persoonsgegevens. Deze afspraken kunnen vastgelegd worden in een verwerkersovereenkomst. U zult ook moeten voorzien in adequate procedures om datalekken op te sporen, te rapporteren en te onderzoek. Hoe pakt u dit gestructureerd aan?
Weet wat u verwerkt
Eerst moet u weten welke (bijzondere) persoonsgegevens u verwerkt. In artikel 3 is hieraan aandacht besteed. U hebt de verwerkingen vastgelegd in een register. Dat kan dus als basis dienen. De volgende vraag is, wie de ‘verwerkingsverantwoordelijke’ is en wie de ‘verwerker’. De privacywetgeving stelt dat degene die het doel en de middelen bepaalt ‘de verwerkingsverantwoordelijke’ is. Deze zal het initiatief moeten nemen tot het sluiten van een verwerkersovereenkomst. Inventariseer dus per partij met wie u persoonsgegevens uitwisselt en wie het doel en de middelen bepaalt. Beide partijen hebben specifieke plichten om de beveiliging van persoonsgegevens goed te regelen. Privacy is immers teamwork.
Sluit verwerkersovereenkomsten
Als u vastgesteld heeft in welke situaties u verantwoordelijke bent is het van belang dat u met de verwerker een verwerkersovereenkomst sluit. In de AVG staan afspraken die u verplicht moet maken met uw verwerker. In onze toolbox is hiervoor een model opgenomen, maar ook de ABU en NBBU hebben modellen opgesteld.
Vervolgens is van belang om met de verwerker te kijken welke beveiligingsmaatregelen er door de verwerker getroffen moeten worden, passend bij het soort gegevensverwerking. U doet er verstandig aan ook deze contractueel vast te laten leggen en de ICT-afdeling, de systeembeheerder of de security officer met dit onderdeel mee te laten kijken. Als laatste is het inrichten van een datalekprotocol belangrijk.
Het belangrijkste daarbij is dat u uw eigen medewerkers informeert over wat een beveiligingsincident en wat een datalek is. Vervolgens is het belangrijk dat medewerkers een beveiligingsincident of datalek kunnen melden op eenvoudige en toegankelijke wijze. Dit kan bijvoorbeeld via een formulier op intranet. Ook zult u deze meldingen moeten registreren en daarom is het aan te bevelen om een register aan te leggen waarin u de meldingen vastlegt. Als u via ons een privacy officer afneemt, is het bijhouden van dit register een van zijn taken.
Wij helpen u
FlexKnowledge en VKA hebben samen een toolbox ontwikkeld, waarin alle noodzakelijke documenten zijn opgenomen. Dus ook de basis voor het register van verwerkingsactiviteiten. U kunt die zelf controleren, aanvullen en updaten, maar u kunt dat ook aan ons uitbesteden.
In het volgende artikel wordt ingegaan op het Data Protection Impact Assessment (DPIA), ook wel Privacy Impact Assessment (PIA) genoemd. Te vaak worden PIA’s uitgevoerd terwijl dat niet strikt noodzakelijk is. Wanneer moet uw nu precies een PIA uitvoeren?