Wat inmiddels door o.a. Gartner, MKB Servicedesk en mededelingen van publieke organisaties als bijvoorbeeld de Belastingdienst is bevestigd, was voor ons al duidelijk: lang niet alle organisaties waren op 25 mei 2018 klaar met de implementatie van de Algemene verordening gegevensbescherming. Er is nog het nodige werk te doen, ook voor inkopers, als het gaat om de implementatie van de AVG. En dat betekent niet alleen het maken van afspraken met leveranciers, maar ook het contractmanagement vraagt aandacht.
Al eerder besteedden we in de E-proQure nieuwsbrief aandacht aan de implementatie van de AVG. Vanaf december 2017 gaf ik met Nienke Kolthof (Legalz) ook een aantal trainingen voor inkopers hierover. Onze insteek was dat de implementatie van de AVG een organisatiebreed vraagstuk is en een bijbehorende aanpak vraagt inclusief inkoop. Ons advies aan inkopers: wacht niet af, zorg dat je kennis hebt van de AVG, maak een inventarisatie van de consequenties voor inkoop en maak vervolgens een plan van aanpak.
Mijn ervaringen op basis van ‘voor je het weet, heb je er iets aan’:
- Het is belangrijk allereerst te onderzoeken binnen jouw organisatie hoe de AVG wordt opgepakt. Is er een Functionaris Gegevensbescherming/Privacy Office aangesteld of is er een speciale AVG- projectgroep? Welke kennis is er al beschikbaar over de AVG? En wie zijn, vanuit het perspectief van inkoop, de belangrijke stakeholders voor de implementatie van de AVG?
- In veel gevallen is er bij contracten met leveranciers sprake van verwerking persoonsgegevens. Het lijkt of het alleen gaat om contracten met leveranciers in de hoek van IT en HRM. Dit klopt niet. Ook bij bijvoorbeeld contracten over facilitaire services, marketing & communicatie en marktonderzoek is de AVG een issue. Inzicht in de verwerking van persoonsgegevens bij contracten met leveranciers is cruciaal.
- Bepaal per contract welke rol uw organisatie speelt als het gaat om de verwerking van persoonsgegevens. Is uw organisatie in relatie tot het contract met een bepaalde leverancier verwerkingsverantwoordelijk, verwerker of sub-verwerker? Dat het antwoord op deze vraag per leverancier/per contract kan verschillen, maakt het niet makkelijker.
- In artikel 28 van de AVG staan de vereisten die worden gesteld aan een verwerkersovereenkomst. Maar dat wil niet zeggen dat u geen aanvullende afspraken mag maken of dat de leverancier dat graag wil. Zeker als het gaat om strategische leveranciers, waarbij er sprake is van een hoog privacyrisico, vraagt dit om maatwerk. En maatwerk vraagt vaak veel tijd en doorlooptijd.
- Ook zijn er situaties waarbij het nog maar de vraag is of er een verwerkersovereenkomst moet worden afgesloten. De AVG verplicht niet om een verwerkingsovereenkomst af te sluiten. Bijvoorbeeld als u tot de conclusie komt dat er eigenlijk sprake is van gezamenlijke verantwoordelijkheid. Of als uw organisatie toch niet het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Het is belangrijk om vast te leggen dat u deze situaties hebt onderkend en waarom u tot de conclusie bent gekomen dat het bijvoorbeeld gaat om gezamenlijke verantwoordelijkheid. En natuurlijk kan het waardevol zijn om toch afspraken te maken en vast te leggen. Bij gezamenlijke verantwoordelijkheid kwamen we de verantwoordelijke-verantwoordelijke overeenkomst tegen.
- Tot slot: een ISO 27001/27002 of NEN 7510 certificering voldoet niet voor de AVG. Om de eenvoudige reden dat algemene technologieneutrale standaarden niet voorzien in maatregelen voor specifieke situaties.
Nog niet helemaal klaar met de AVG? Documenteer je plan en acties goed!
De Algemene verordening gegevensbescherming is op 25 mei 2018 van kracht geworden. De Autoriteit Persoonsgegevens is verantwoordelijk voor het toezicht op correcte uitvoering, doet zelf onderzoek en is aanspreekpunt bij klachten. Alhoewel veel organisaties, mogelijk jij ook, nog niet klaar zijn, is het van belang dat je je aanpak gereed hebt. Zorg ervoor dat je kunt laten zien hoe je de implementatie van de AVG hebt aangepakt, welke activiteiten je hebt uitgevoerd en kunt aantonen wat de actuele status is. Op deze wijze ben je voorbereid als de AP met vragen komt. Maar doe het ook om zelf in control te zijn met betrekking tot de AVG.