Het beheren van ‘derde-partij’ risico’s

Over wie hebben we het hier eigenlijk? Als we het hebben over het mitigeren van de risico’s die verbonden zijn met het delen van persoonsgegevens met derden, dan gaat het over iedereen met wie persoonsgegevens worden gedeeld. Dit is inclusief verwerkers, leveranciers en klanten. Om met dergelijke partijen gegevens te mogen delen, verplicht art 28 AVG je als verwerkingsverantwoordelijke om verplicht drie privacy-activiteiten uit te voeren.

Je moet:

– eisen stellen op vlak van de bescherming van persoonsgegevens;
– procedures hanteren bij het aangaan en het uitvoeren van de daarbij behorende overeenkomsten;
– ‘due diligence’ uitvoeren bij die (potentiële) derden-verwerkers.

1 Welke eisen moet je stellen? (art. 28, 29 AVG)

Als verwerkingsverantwoordelijke behoor je waakzaam te zijn. Dit ben je als je zorgt voor standaard clausules, waarin je de eisen hebt geformuleerd hoe derden de aan hen verstrekte persoonsgegevens moeten beschermen. Daarbij kun je denken aan het formuleren van:

– verantwoordelijkheden over het gebruik van persoonsgegevens:
– wat is aanvaardbaar gebruik;
– mogen onderaannemers ingezet worden;
– zijn er nog inperkingen op verdere bekendmakingen of het gebruik.
– vereisten voor de gegevensbeveiliging;
– wat te doen met de gegevens aan het einde van het contract; en
– wat te doen bij het niet nakomen van afgesproken verplichtingen.

Kortom: als verwerkingsverantwoordelijke waak je ervoor persoonsgegevens alleen te delen met die partijen die de naleving van de Algemene Verordening Gegevensbescherming kunnen garanderen en in het geval van ‘verwerkers’, dat zij zich hiertoe bindend verplichten in een daartoe op te stellen overeenkomst.

2 Welke procedures moet je voorhanden hebben? (art. 28 AVG) 

In het geval dat je als verwerkingsverantwoordelijke persoonsgegevens laat verwerken door derden (verwerkers), moet je procedures voorhanden hebben die garanderen dat:
– er schriftelijke of elektronische contracten worden afgesloten.
– deze contracten zich baseren op de juiste juridische kwalificatie met je derde-relaties; en
– deze contracten de juiste clausules bevatten. (ex. art. 28 lid 3 AVG)

3 Hoe geef je invulling aan ‘due diligence’?(art. 28 AVG)

Als laatste komt de due diligence eis. Dit houdt in dat je je derden moet beoordelen op vlak van privacy en beveiligingsstatus. Je doet dit om te garanderen dat die derde partijen in staat zijn zich te (blijven) houden aan het beleid van gegevensbescherming en informatiebeveiligingsbeleid. Dit kun je vaststellen door:

– het bij de (sub-)verwerker (laten) uitvoeren van een audit; of
– het door de verwerker doen overleggen van een certificaat waaruit blijkt dat hij zich houdt aan een goedgekeurde gedragscode of
– het door de verwerker doen overleggen van een valide certificerings-mechanisme, zoals ISO of NEN normering.

Kortom: Artikel 28.1 AVG verwoord een duidelijke boodschap. Zorg dat je als verwerkingsverantwoordelijke weet met wie je persoonsgegevens deelt en of deze partij zich wenst te houden aan de eisen die de AVG daaraan stelt. Twijfel je hierover? Ga dan niet in zee met deze partij, want uiteindelijk zal dat tegen je werken.