Dropbox Business Blog Nederland — Samenwerken met uw leveranciers om naleving van de AVG te waarborgen

Je leest nu Samenwerken met uw leveranciers om naleving van de AVG te waarborgen
Delen 
23. januari 2018 — 5 minuten leestijd

Samenwerken met uw leveranciers om naleving van de AVG te waarborgen

Per 25 mei 2018 wordt de Algemene verordening gegevensbescherming (AVG) van toepassing en zowel grote als kleine organisaties treffen op dit moment voorbereidingen om te kunnen voldoen aan deze nieuwe verordening. De AVG is een doorontwikkelde versie van het huidige wettelijke kader met betrekking tot gegevensbescherming en wordt ook extraterritoriaal van toepassing op organisaties die buiten de EU gevestigd zijn en die goederen en diensten aanbieden aan personen in de EU of hun gedrag monitoren.

Verantwoording voor gegevens

Bij de AVG komt de nadruk meer te liggen op het verantwoordingsbeginsel. Hiervoor moeten organisaties die gegevens verwerken kunnen aantonen dat ze voldoen aan de kernbeginselen van gegevensbescherming (van rechtmatigheid, billijkheid, transparantie tot dataminimalisatie). Het verantwoordingsbeginsel houdt echter niet op bij de gegevensstromen binnen uw organisatie. Als we kijken naar hoe vaak gegevens worden verzonden naar of uitgewisseld tussen bedrijven waarmee u werkt — van dienstverleners op het gebied van payroll tot aanbieders van productiviteitverhogende tools in de cloud — vormt uw relatie met leveranciers ook een cruciale factor in de voorbereidingen om naleving te waarborgen.

De basisbeginselen zijn hetzelfde, maar de eisen zijn strenger

De AVG borduurt voort op het huidige wettelijke kader, waaronder de bestaande Europese richtlijn inzake bescherming persoonsgegevens, maar legt strengere verplichtingen op het gebied van gegevensbescherming op dan de huidige wet. Dit heeft ook betrekking op bewerkingsovereenkomsten. In de AVG blijven veel basisconcepten en -beginselen uit de huidige wet behouden, zoals de rol van de (voor de verwerking) verantwoordelijke en verwerker. Verwerkingsverantwoordelijken worden gedefinieerd als partijen die verantwoordelijk zijn voor het vaststellen van het doel en de middelen voor het verwerken van persoonsgegevens. Verwerkers zijn organisaties die kunnen worden ingeschakeld door een verwerkingsverantwoordelijke om persoonsgegevens ten behoeve van haar te laten verwerken, zoals een agent of een leverancier.

Hoewel de AVG niet beoogt om een compleet nieuwe relatie tussen uw organisatie als de verwerkingsverantwoordelijke en uw leveranciers als de verwerkers tot stand te brengen, komt er wel meer nadruk te liggen op de rol van de verwerkers, omdat nu voor het eerst hun activiteiten ook rechtstreeks aan regels worden gebonden. De huidige richtlijn heeft over het algemeen alleen betrekking op verantwoordelijken en niet op verwerkers.

Focus op veiligheid

De AVG verplicht verwerkingsverantwoordelijken om passende beveiliging te waarborgen en verwerkers te kiezen die technische en organisatorische maatregelen hebben getroffen die aan de vereisten voldoen. Deze verplichting gaat verder dan de huidige richtlijn en daarom moeten verwerkingsverantwoordelijken zorgvuldig een verwerker kiezen die kan helpen bij de  strategie voor naleving van de AVG. Soms kunnen leveranciers zelfs een cruciale rol spelen om uw onderneming voor te bereiden en mogelijk beschikken zij over hulpmiddelen die u kunnen helpen in het nalevingstraject. De AVG heeft betrekking op ieder aspect van de relatie met de verwerkende partij. Dit begint vanaf het moment dat u een verwerker kiest, gaat verder met de tekst die u moet opnemen in de bewerkersovereenkomst, en gaat door tot het einde van die overeenkomst en wat er op dat moment met de gegevens gebeurt.

Checklist voor leveranciers

Onder de AVG gelden enkele specifieke verplichtingen waarvan u als verwerkingsverantwoordelijke zeker moet weten dat uw leverancier hieraan voldoet. Deze verplichtingen hebben onder andere betrekking op het bijhouden van de adequate documentatie (Artikel 30), samenwerken met nationale toezichthoudende autoriteiten (Artikel 31), implementeren van passende beveiligingsstandaarden (Artikel 32), uitvoeren van "gegevensbeschermingeffectbeoordelingen" (Artikel 35), aanwijzen van een functionaris voor de gegevensbescherming (Artikel 37) en naleven van de bepalingen inzake internationale doorgifte van gegevens (Hoofdstuk V). En ingevolge strengere verplichtingen onder Artikel 28 is het afsluiten van een schriftelijke bewerkersovereenkomst tussen u en de leverancier verplicht geworden.

Beoordeling van de supply chain

De procedure om het welzijn van de relatie tussen de gegevensverantwoordelijke en de leverancier te testen, is in grote lijnen tweeledig. Ten eerste moet de supply chain worden beoordeeld om na te gaan of deze momenteel voldoet aan de AVG. En ten tweede dienen contracten mogelijk te worden herzien om te waarborgen dat deze voldoen aan de vereisten van de AVG. Organisaties zouden nu in actie moeten komen om zeker te stellen dat elke regeling die na 25 mei 2018 nog steeds van kracht is, voldoet aan de nieuwe bepalingen. Dit geldt zowel voor nieuwe overeenkomsten, wanneer u nieuwe leveranciers selecteert en contracten afsluit met deze partijen, als voor bestaande overeenkomsten. In het laatste geval dient u voldoende tijd in te plannen als het noodzakelijk zou zijn dat er opnieuw moet worden onderhandeld over de bestaande voorwaarden.

Doorlopende naleving

Natuurlijk begint noch eindigt de naleving van de AVG binnen uw organisatie niet met de relatie met uw leverancier; het gaat erom dat breder moet worden nagedacht over hoe data zich verplaatst en wordt beschermd in uw organisatie. Desalniettemin moet een leverancier als een belangrijke partner worden beschouwd in het traject om naleving van de AVG te waarborgen.

Dyann Heward-Mills is hoofd van de Data Protection and Cyber Security Practice Group bij het kantoor van Baker McKenzie in Londen.

Meer Dropbox Nieuws

Let op: soms bloggen we over nieuwe producten of eigenschappen voordat ze uitgebracht zijn,
ende timing en extra functionaliteit van deze eigenschappen kunnen afwijken van wat hier wordt gedeeld.
De beslissing om onze diensten af te nemen moet worden gemaakt op de producten
en kenmerken die op dat moment beschikbaar zijn.