Operationele samenwerking binnen de kaders van de AVG

Operationeel samenwerken binnen AVG kaders: deel 1

Logo Privacy Based small

"verwerkingsverantwoordelijke": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; 

Als je verwerkingsverantwoordelijk bent en je bedrijf heeft een redelijke omvang dan is het zeer aannemelijk dat je voor de dagelijkse operationele verwerking van data en persoonsgegevens gebruik maakt van een scala aan verwerkers. Denk aan het hostingbedrijf, de cloud, de marketingtools, de CRM tools, de e-mail marketing tools, de profiling tools, cookie beheerders en vele andere verwerkers in de keten. 

De AVG (artikelen 24 tot en met 28) zegt dat de hele keten een set van afspraken moet maken en die moet vastleggen in een overeenkomst; de verwerkersovereenkomst. De vraag is nu hoe je de verplichtingen van de AVG - naast de juridische bepalingen -vertaalt naar een set van operationele afspraken tussen de verwerkingsverantwoordelijke en de (sub)verwerkers. Daarover gaan de volgende artikelen. Operationele zaken die leiden tot bewijs (aantoonbaarheid) van een actieve naleving van de AVG.

Wat moet je allemaal afspreken?​​​​

Veel aanbieders hebben templates waarmee kan worden vastgesteld in hoeverre je compliant bent. Dan gaat het eigenlijk altijd om de vragen of beleidsstukken aanwezig zijn en contracten zijn getekend. Maar het hebben van een register van verwerkingsactiviteiten bijvoorbeeld heeft geen waarde als het niet wordt voorzien van een beheersmethode. In zo'n beheersmethode staat bepaald hoe je een up-to-date versie van het register moet bijhouden, aanpassingen moet vastleggen en maakt aantoonbaar dat je een regelmatige analyse hebt gedaan en alle bevindingen meeneemt in een verbeterplan. 

En dan heb je meteen de meest belangrijke vraag te pakken. Hoe kan je een organisatie zo inrichten dat het up-to-date houden van een register van verwerkingsactiviteiten door de proceseigenaar als volledig vanzelfsprekend wordt gezien. Dat alle verwerkers in de keten mee zijn genomen.

En zo'n beheerssysteem moet worden ingericht voor alle zaken die de hele keten raken, zoals:

  • verwerkersovereenkomsten
  • register van verwerkingsactiviteiten
  • toezicht op passende technische en organisatorische maatregelen 
  • privacy by design en privacy by default
  • rechten van betrokkenen
  • incidenten en datalekken
  • gebruik van cookies

Bij al deze onderwerpen is het noodzakelijk dat er operationele afspraken worden gemaakt tussen alle partners in de hele keten. Een systeem inrichten waarbij veel onderdelen in sync blijven zonder dat een data protection officer steeds elke proceseigenaar achter de broek moet zitten.

PrivacyBased zal elk onderwerp verder uitwerken

In een serie artikelen zal ik ingaan op bovenstaande onderwerpen. Ik zal aangeven hoe ik dat zie en hoe ik dat uit ervaring heb kunnen doen. Maar het is zeker geen unieke en enige methode of een allesomvattende methode. Voel je vrij om er verder over na te denken. En natuurlijk, voel je vrij om de kennis van ons in te schakelen als je hulp nodig hebt bij de uitwerking.

Tot zover de inleiding,

Hans leemans,
certified data protection officer,
netwerkpartner van PrivacyBased