Bel Ons: (+31) 651-191-613

Algemene Verordening Gegevensbescherming

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming en privacywet 2018 onderwijs in werking getreden. De Wet bescherming persoonsgegevens is vervallen. Alhoewel de Europese Commissie spreekt over ‘administratieve verlichting’ leidt de AVG tot een aanzienlijke werklast voor bedrijven die werken met persoonsgegevens. Dit geldt temeer wanneer die gegevens worden verwerkt door externe ICT-leveranciers. Denk daarbij aan SaaS-software zoals HR, CRM of boekhoudpakketten.

Ingrijpende wijzigingen voor ICT-leveranciers

Onder de Wet Bescherming Persoonsgegevens (WBP) moesten ICT leveranciers bij het omgaan met privacy gevoelige gegevens al aan enkele eisen voldoen. Ze moeten bijvoorbeeld ‘passende technische en organisatorische beveiligingsmaatregelen (nemen) tegen het verlies van (persoons-) gegevens’. Toen de WBP nog van kracht was het voldoende om alleen deze passage op te nemen in het contract met de klant. Maar dat is in de AVG veranderd.

Meldplicht datalekken

Op 1 januari 2016 werd in de WBP de meldplicht datalekken geïntroduceerd. Gegevensverantwoordelijken moeten sindsdien zelf aan de Autoriteit Persoonsgegevens melden dat er iets fout is gegaan met de verwerking van persoonsgegevens.

Verder moeten gegevensverantwoordelijken contractueel bij de ICT-leverancier afdwingen dat zij, als gegevensverwerkers, daartoe de nodige informatie verstrekken. Dit contract heet onder de AVG een verwerkersovereenkomst.

Verwerkersovereenkomst

Onze indruk is dat de grote opdrachtgevers inmiddels wel een dergelijke verwerkersovereenkomst hebben gesloten met hun dataverwerkers. Bij het meerendeel van de kleine opdrachtgevers is dat echter nog niet het geval.

Dat geldt met name voor kleine(re) dienstverleners die verwerkersdiensten verrichten voor andere kleine(re) bedrijven zoals zzp’ ers en (samenwerkende) beroepsbeoefenaren. Beide partijen hebben ieder een eigen verantwoordelijkheid onder de AVG.

Zij moeten er echter alle rekening mee houden dat in de AVG een forse uitbreiding van de bevoegdheid van de Autoriteit Persoonsgegevens (AP) is opgenomen. De AP kan, wanneer niet aan de AVG wordt voldaan overtreders (zeer fors) te beboeten.

Verwerkersovereenkomst wordt belangrijker

Onder de AVG worden de wettelijke verplichtingen voor zowel de gegevensverantwoordelijken (opdrachtgevers) als die van de dataverwerkers (ICT-dienstverleners) aanzienlijk uitgebreid.

Het belangrijkste gevolg van de AVG voor ICT-dienstverleners als gegevensverwerker is dat voor hen voor het eerst rechtstreeks wettelijke verplichtingen gelden. Zij worden zelf aanspreekbaar, én aansprakelijk. Tot de komst van de AVG rustten die verplichtingen alleen op hun klant (de gegevensverantwoordelijke).

Handhaving bepalingen AVG

Zowel de oude WBP als de nieuwe AVG zijn gebaseerd op communautaire (EU-) regelgeving. Veel elementen uit de WBP zijn terug te vinden in de AVG. De verplichtingen van alle bij de verwerking van persoonsgegevens betrokken partijen zijn in de AVG echter fors uitgebreid, en de boetes zijn navenant hoger.

Vraag is in hoeverre de nationale AP’s de regelgeving gaan handhaven. Het optreden van de Europese Commissie richting de Googles en Facebooks van deze wereld voorspelt wat dat betreft niet veel goeds.

Wellicht lopen grotere bedrijven eerder de kans om in het visier te komen van de verschillende nationale Autoriteiten Persoonsgegevens (AP’ s). Maar ook kleinere organisaties lopen risico’s omdat medewerkers, klanten en geïnteresseerden uit het publiek duidelijk omschreven inzage- en klachtrechten hebben.

Daarnaast hebben betrokkenen de mogelijkheid om rechtstreeks een klacht in te dienen bij de nationale AP.

Verplichtingen voor ICT-dienstverleners

Enkele nieuwe verplichtingen voor gegevensverwerkers zijn:

  • het bijhouden van een register van verwerkingen;
  • het treffen van adequate beveiligingsmaatregelen (waaronder het uitvoeren van periodieke beveiligingstesten);
  • het benoemen (onder bepaalde omstandigheden) van een functionaris voor gegevensbescherming;
  • het voldoen aan de vereisten voor doorgifte aan derde landen, en
  • het samenwerken met toezichthouders.

Nieuwe contractuele verhoudingen

Alhoewel de AVG zelfstandige verplichtingen oplegt aan gegevensverwerkers, ontslaat dit de opdrachtgevers niet van hun eigen verantwoordelijkheid krachtens de AVG.

Opdrachtgevers zullen in het dienstencontract met hun ICT-dienstverleners voorwaarden moeten opnemen over de wijze waarop de ICT-dienstverleners hun werk doen. De gegevensverwerk(s) moet(en) aangeven hoe zij daarover aan hun opdrachtgever verantwoording afleggen.

De voorwaarden uit de AVG leiden tot een geheel nieuwe contractuele relatie tussen opdrachtgevers en ICT-dienstverleners.

Sluit Menu

Op de hoogte blijven over privacy en gegevensbescherming?

Schrijf in op onze nieuwsbrief: