Niet alle persoonsgegevens blijven binnen de muren van de organisatie. Er zijn verschillende redenen waarom gegevens met derde partijen worden gedeeld of uitgewisseld. Daarom zijn er ook verschillende soorten afspraken die organisaties kunnen maken om de privacy van betrokkenen te beschermen. Het is van belang dit vóórdat de verwerking plaatsvindt goed te regelen.
Zo worden in veel gevallen externe bedrijven ingeschakeld om gegevens namens een organisatie te verwerken (verwerkers). Daarnaast kan het zijn dat er partijen zijn die niet zo zeer de opdracht krijgen om gegevens te verwerken, maar er noodzakelijkerwijs toch in aanraking mee komen (derden). Soms hebben we samenwerkingsverbanden waarbinnen gegevens worden uitgewisseld of vragen partijen om informatie over klanten of medewerkers. Hierbij moet telkens worden nagegaan of dit volgens de AVG is toegestaan en welke afspraken daarbij gemaakt moeten worden.
Deelt u persoonsgegevens?
De kans is groot dat uw organisatie persoonsgegevens deelt met externe partijen. Bijvoorbeeld wanneer u een externe partij inhuurt voor uw personeels- of salarisadministratie, of daar een online applicatie voor gebruikt. Wanneer uw interne privacy- en informatiebeveiligingscompliance op orde is, is dat natuurlijk erg mooi. Maar bent u ook in staat in dit te borgen wanneer deze informatie uw organisatie verlaat? Door middel van een overeenkomst tussen u en deze externe partij kunt u afspreken dat beide partijen de privacywetten zullen naleven en de persoonsgegevens op een passende manier zullen beveiligen en verwerken.
Het is van belang duidelijk in kaart te brengen met welke externe partijen uw organisatie persoonsgegevens deelt. In principe zou uw verwerkingsregister hier informatie over moeten geven. Er zijn bepaalde gevallen van gegevensdeling waar u geen overeenkomst voor hoeft af te sluiten, zoals bijvoorbeeld wanneer de belastingdienst gegevens van uw medewerkers opvraagt, of wanneer u een externe accountant toegang tot uw bestanden verschaft in het kader van een controle.
Doelmatigheid
Een van de hoofdbeginselen van de AVG is dat het verwerken van persoonsgegevens met een bepaalt doel gebeurt. Zonder een duidelijk, specifiek doel mag u de persoonsgegevens niet verwerken. Daarnaast moet het doel aan één van de rechtvaardigingsgronden voldoen en mogen niet meer gegevens worden verwerkt dan noodzakelijk voor het doel. Dit principe geldt ook voor het delen van persoonsgegevens. Het is daarom van belang bij elke gegevensdeling zich af te vragen of dit ook gerechtvaardigd is. Wanneer u een brief naar uw contacten of klanten wil sturen, is het niet noodzakelijk om ook de lijst van telefoonnummers mee te sturen naar het postbedrijf.
Convenant of verwerkersovereenkomst?
Wanneer gegevens worden gedeeld tussen samenwerkende partijen die op gelijke voet staan (de één is niet opdrachtgever van de ander) is er sprake van gezamenlijke verantwoordelijkheid. Dan moet in een regeling van gezamenlijke verantwoordelijkheid, bijvoorbeeld in een convenant, worden vastgelegd wat de samenwerking inhoudt. Onder andere de gegevensstromen, verdeling van aansprakelijkheid en het doel van de gegevensdeling komen in het convenant aan bod.
In het geval van een uitbesteding, bijvoorbeeld wanneer een organisatie een drukkerij inschakelt om alle klanten brieven toe te sturen, is een verwerkersovereenkomst noodzakelijk. In dit geval is er een opdrachtgever-opdrachtnemerrelatie en blijft de verwerkingsverantwoordelijke (opdrachtgever) verantwoordelijk voor de persoonsgegevens. De verwerker handelt dan ook uitsluitend aan de hand van de verwerkersovereenkomst. Daarin staan naast instructies voor de verwerking, ook een beschrijving van de afgesproken beveiligingsmaatregelen, net als eventuele subverwerkers die worden ingeschakeld. De Autoriteit Persoonsgegevens biedt een overzicht van alle onderwerpen in een verwerkersovereenkomst. U kunt natuurlijk ook contact opnemen met Audittrail en een overeenkomst door onze specialisten laten opmaken.
Soms bent u verplicht gegevens te verstrekken (bijvoorbeeld aan de Belastingdienst) of is het verstrekken van persoonsgegevens een kleine bijkomstigheid binnen een andere opdracht, zoals een bloemist, die een adres nodig heeft om een bos bloemen te bezorgen. Bij gegevensdeling met zulke derden is de andere partij zelf verantwoordelijk en is een overeenkomst niet nodig.
Bron: Audittrail | Foto: Audittrail
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.