De Algemene verordening gegevensbescherming (AVG) geldt per 25 mei 2018 voor alle organisaties. Veel organisaties moeten nog een behoorlijke eindsprint trekken. Als contractmanager ben je waarschijnlijk druk bezig met deze privacywet, zodat je gedegen afspraken kunt maken met leveranciers, afnemers en partners. Heb je de AVG al helemaal onder de knie of kun je nog wat hulp gebruiken? In deze blog vind je de vijf meestgestelde vragen uit de training AVG voor contractmanagers.
Eerder schreef ik een meer algemene blog over de AVG en de begrippen ‘verwerken’ en ‘persoonsgegevens’. Naar aanleiding daarvan heb ik tijdens onze AVG trainingen de meestgestelde vragen van contractmanagers voor je gefilterd en hieronder uiteengezet
1. Is een boetebepaling in de verwerkersovereenkomst verplicht?
De AVG specificeert de minimumvereisten van de verwerkersovereenkomst in artikel 28. Afspraken over aansprakelijkheden, vrijwaringen, boetes, garanties en kosten mogen in de verwerkersovereenkomst opgenomen worden, maar dit is absoluut geen vereiste!
2. Wie stelt de verwerkersovereenkomst op? De verwerkingsverantwoordelijke of de verwerker?
De Wet bescherming persoonsgegevens (Wbp) – die op 25 mei 2018 wordt vervangen door de AVG – legt de verplichting tot het sluiten van een verwerkersovereenkomst bij de verwerkingsverantwoordelijke. De AVG legt de verantwoording zowel bij de verwerkingsverantwoordelijke als bij de verwerker. Als een contractmanager zijn eigen model verwerkersovereenkomst hanteert, levert dat over het algemeen een betere onderhandelingspositie op ten aanzien van de wederpartij.
3. Dient de verwerkersovereenkomst gemanaged te worden?
De verwerkersovereenkomst bevat de afspraken tussen de organisatie van de contractmanager en de wederpartij over de (goede) omgang met persoonsgegevens. De verwerkersovereenkomst is in veel gevallen geen document dat na mei 2018 in de la verdwijnt. Tussen partijen worden afspraken gemaakt over beveiligingsmaatregelen en die moeten blijven voldoen aan de stand van de techniek en zijn dus onderhavig aan evaluatie. Daarnaast moet de verwerkingsverantwoordelijke verwerkers auditen op de naleving van de afspraken uit de verwerkersovereenkomst.
4. Wat is het verschil tussen de bewerkers- en verwerkersovereenkomst?
Strikt genomen is er geen verschil. Onder de Wbp wordt gesproken over ‘bewerken’ en onder de AVG wordt gesproken over ‘verwerken’. Beide overeenkomsten bevatten afspraken over de goede omgang met persoonsgegevens en de begrippen mogen allebei gebruikt worden. Voor de contractmanager is de benaming ‘bewerkersovereenkomst’ wel een extra aandachtspunt. De benaming bewerkersovereenkomst impliceert dat de auteur van de overeenkomst deze heeft opgesteld vóór de bekendmaking/inwerkingtreding van de AVG. Zeer waarschijnlijk voldoet deze overeenkomst nog niet aan alle vereisten die de AVG aan de verwerkersovereenkomst stelt.
Let op: alleen al het feit dat de verwerkersovereenkomst niet aan alle eisen van de AVG voldoet, zou kunnen leiden tot een boete.
5. Hoe bepaal ik als contractmanager de afspraken over de te nemen beveiligingsmaatregelen?
Verwerkingsverantwoordelijke en verwerker leggen in de verwerkersovereenkomst de maatregelen vast die zorgen dat een op het risico afgestemd beveiligingsniveau van persoonsgegevens wordt bewerkstelligd. Hoe bepaal je als contractmanager welke beveiligingsmaatregelen nodig zijn? Beveiliging is vaak maatwerk. Aan de hand van een Privacy Impact Assessment (PIA) bepaal je de risico’s binnen het contract en de daarbij passende maatregelen. Deze kun je eventueel samen met de wederpartij opstellen. Bij de uitvoering van de PIA kun je stakeholders zoals de contracteigenaar, gebruikers en de IT-afdeling betrekken.
Duizelt het je nog een beetje na deze top vijf meestgestelde vragen? Dan is de training Privacy en implementatie AVG (GDPR) voor contractmanagers iets voor jou!
