Volg ons op sociale media

Alwéér een artikel over de AVG?!

Geplaatst op 21 december 2017 om 11:10

Ja inderdaad, alwéér een artikel over de Algemene verordening gegevensbescherming. En dat is niet voor niks. Afgelopen maand hebben wij diverse seminars georganiseerd over de AVG, we hebben nieuwe, AVG-proof, juridische documenten opgesteld en een stappenplan gedeeld waarmee onze deelnemers goed voorbereid zijn op de AVG. Maar nieuwe wetgeving is nou eenmaal lastig, we krijgen dan ook veel vragen. In dit artikel vindt u de drie meest gestelde vragen over de AVG. Natuurlijk met een goed antwoord waarmee u aan de slag kunt!

1. Wanneer bent u verantwoordelijke, verwerker of subverwerker?

Het is belangrijk om te bepalen welke rol u heeft in een samenwerking. Verzamelt u zelf de persoonsgegevens van betrokkenen? Dan bent u de verantwoordelijke. Schakelt u daarna een derde partij in om iets met deze gegevens te doen, dan is deze derde partij de verwerker. Schakelt deze weer een derde partij in die ook iets met de gegevens doet, dan is dat de subverwerker.

Als ICT-dienstverlener zult u veelal de rol van verwerker of subverwerker hebben. Gegevens worden verzameld door uw klant die u vraagt hier iets mee te doen. De overeenkomst die u hiervoor nodig heeft, is de verwerkersovereenkomst waarbij u de verwerker bent.

Het kan ook anders zijn. Stel u schakelt een salarisadministrateur in die voor u de loonadministratie verzorgt. In zo’n geval bent u de verantwoordelijke die de persoonsgegevens van uw personeel verzamelt en aan een derde verstrekt om te verwerken. In dat geval heeft u de verwerkersovereenkomst nodig waarbij u de verantwoordelijke bent.

2. Moet u een verwerkersovereenkomst sluiten als u persoonsgegevens alleen opslaat?

Ja. De criteria die de AVG voor het verwerken van persoonsgegevens hanteert, zijn extreem breed. In principe moet u ervan uitgaan dat wanneer u zelfs maar “iets” met de persoonsgegevens doet, u al als verwerker opereert. En daarvoor moet u onder de AVG een verwerkersovereenkomst sluiten. Dit geldt overigens ook wanneer er slechts de theoretische mogelijkheid bestaat dat u toegang zou hebben tot persoonsgegevens of deze zou kunnen inzien.

3. Kan de (sub)verwerkersovereenkomst opgenomen worden in uw Algemene Voorwaarden?

Biedt u als ICT-dienstverlener één type dienst aan die steeds hetzelfde is, dan kunt u een sectie met betrekking tot de verwerking van persoonsgegevens in uw Algemene Voorwaarden opnemen. U dient dan de categorieën betrokkenen en persoonsgegevens die u verwerkt hierin te benoemen. Voor de meeste ICT-dienstverleners geldt echter dat zij meer dan één type dienst aanbieden. Dan moet u werken met (sub)verwerkersovereenkomsten.

Gebruikt u branchevoorwaarden, bijvoorbeeld van ICTWaarborg, dan moet u ook werken met (sub)verwerkersovereenkomsten. Branchevoorwaarden dekken een breed scala aan diensten, waardoor het onmogelijk is alle categorieën persoonsgegevens en betrokkenen hierin te benoemen.

Goede voorbereiding

Zorg ervoor dat u goed voorbereid bent op de AVG. Overtreedt u straks de AVG, dan kan de Autoriteit Persoonsgegevens boetes opleggen tot 20 miljoen euro of 4% van uw wereldwijde jaaromzet.

Dit artikel van ICTWaarborg is gepubliceerd in TBM magazine, nummer 8, december 2017.

Meer nieuws, december 2017

Onze evenementen

Als speler in de ICT-branche wilt u natuurlijk ook een rol spelen en in contact komen met andere belangrijke bedrijven in de sector. Daarom organiseert ICTWaarborg regelmatig leuke en leerzame events.

Post- en vestigingsadres

Tasveld 1A
3417 XS Montfoort

Telefoon en e-mail

088 - 77 300 73