07 feb
Meer en meer ondernemers beginnen nu gelukkig werk te maken van de GDPR. Er worden allerlei technische en organisatorische maatregelen genomen om op 25 mei klaar te zijn. Toch lopen ondernemers nog tegen veel obstakels op.
Zo krijgen we nog veel vragen tijdens de informatie ontbijtjes en – lunches waar ik aanwezig ben als spreker. In Hoorn kwam een van de aanwezigen met een vraag die we vaker horen: ‘Ik ben nu bezig om mijn eigen zaken goed op orde te krijgen, maar hoe kan ik er van uitgaan dat de partijen waar ik mee samenwerk hun beveiliging ook op orde hebben?’
Voor anderen verantwoordelijk
Eén van de maatregelen die in de GDPR staan, is dat je als partij ook verantwoordelijk bent voor de bedrijven waarmee je samenwerkt of zaken doet, als zij persoonsgegevens in jouw opdracht verwerken. Met andere woorden: met alle leveranciers en diensten die jij als ondernemer gebruikt, moet je afspraken en overeenkomsten maken over hoe zij met de persoonsgegevens - die je van jouw klanten hebt gekregen ter verwerking - omgaan. Die overeenkomsten moeten onder meer het volgende bevatten:
- het onderwerp van de gegevensverwerking;
- de duur van de gegevensverwerking;
- de aard van de gegevensverwerking;
- het doel van de gegevensverwerking,
- het soort persoonsgegevens dat wordt verwerkt;
- de categorieën van betrokkenen (personen van wie de persoonsgegevens worden verwerkt);
- de rechten en verplichtingen van de verwerkingsverantwoordelijke.
Met kleinere leveranciers zijn deze overeenkomsten waarschijnlijk goed te regelen, maar hoe zorg je dat afspraken met partijen als Microsoft, Google en Facebook kunt maken? En wat de denken van je een hostingpartij of Internet Service Provider (ISP)? Mag je van hen afdwingen dat ze een goede overeenkomst met jou afsluiten, of komen zij met eigen voorwaarden? Uiteraard zullen grote partijen niet met elke klant om de tafel gaan zitten om afspraken te maken en dus zullen er standaardcontracten komen, waarbij u goed zal moeten kijken of deze in lijn zijn met de contracten die u met uw klant heeft afgesproken.
Controle
Een belangrijke vraag die daarnaast gesteld moet worden is hoe je kan controleren dat de gegevensverwerker zich daadwerkelijk aan houdt aan de afspraken die op geduldig papier zijn vastgelegd. Krijg je daar garanties over, door bijvoorbeeld een periodiek overzicht of moet je daar zelf actief op aansturen?
Eén van de manieren om te controleren of je gegevensverwerkers risico’s lopen in hun systemen, is door de ThreadScan te gebruiken. De ThreadScan kan ook de systemen van hen controleren, zonder dat het daadwerkelijk in hun systemen indringt.
Goede afspraken met je gegevensverwerkers kunnen een hoop problemen voorkomen. Maar maak ze wel. Uiteindelijk is de verwerkingsverantwoordelijke verantwoordelijk voor de ingeschakelde leveranciers (verwerkers en subverwerkers) als het om persoonsgegevens gaat.