Niet alle persoonsgegevens blijven binnen de muren van de organisatie. Er zijn verschillende redenen waarom gegevens met derde partijen worden gedeeld of uitgewisseld. Daarom zijn er ook verschillende soorten afspraken die organisaties kunnen maken om de privacy van betrokkenen te beschermen. Het is van belang dit vóórdat de verwerking plaatsvindt goed te regelen. In dit artikel over extern contact behandelen we de grondslagen en overeenkomsten die nodig zijn bij de uitwisseling van gegevens.
Zo worden in veel gevallen externe bedrijven ingeschakeld om gegevens namens een organisatie te verwerken (verwerkers). Daarnaast kan het zijn dat er partijen zijn die niet zo zeer de opdracht krijgen om gegevens te verwerken, maar er noodzakelijkerwijs toch in aanraking mee komen (derden). Soms hebben we samenwerkingsverbanden waarbinnen gegevens worden uitgewisseld of vragen partijen om informatie over klanten of medewerkers. Hierbij moet telkens worden nagegaan of dit volgens de AVG is toegestaan en welke afspraken daarbij gemaakt moeten worden.
Deelt u persoonsgegevens?
De kans is groot dat uw organisatie persoonsgegevens deelt met externe partijen. Bijvoorbeeld wanneer u een extern contact inhuurt voor uw personeels- of salarisadministratie, of daar een online applicatie voor gebruikt. Wanneer uw interne privacy- en informatiebeveiligingscompliance op orde is, is dat natuurlijk erg mooi. Maar bent u ook in staat in dit te borgen wanneer deze informatie uw organisatie verlaat? Door middel van een overeenkomst tussen u en het extern contact kunt u afspreken dat beide partijen de privacywetten zullen naleven en de persoonsgegevens op een passende manier zullen beveiligen en verwerken.
Het is van belang duidelijk in kaart te brengen met welke externe partijen uw organisatie persoonsgegevens deelt. In principe zou uw verwerkingsregister hier informatie over moeten geven. Er zijn bepaalde gevallen van gegevensdeling waar u geen overeenkomst voor hoeft af te sluiten, zoals bijvoorbeeld wanneer de belastingdienst gegevens van uw medewerkers opvraagt, of wanneer u een externe accountant toegang tot uw bestanden verschaft in het kader van een controle.
Doelmatigheid
Een van de hoofdbeginselen van de AVG is dat het verwerken van persoonsgegevens met een bepaalt doel gebeurt. Zonder een duidelijk, specifiek doel mag u de persoonsgegevens niet verwerken. Daarnaast moet het doel aan één van de rechtvaardigingsgronden voldoen en mogen niet meer gegevens worden verwerkt dan noodzakelijk voor het doel. Dit principe geldt ook voor het delen van persoonsgegevens. Het is daarom van belang bij elke gegevensdeling zich af te vragen of dit ook gerechtvaardigd is. Wanneer u een brief naar uw contacten of klanten wil sturen, is het niet noodzakelijk om ook de lijst van telefoonnummers mee te sturen naar het postbedrijf.
Convenant of verwerkersovereenkomst?
Wanneer gegevens worden gedeeld tussen samenwerkende partijen die op gelijke voet staan (de één is niet opdrachtgever van de ander) is er sprake van gezamenlijke verantwoordelijkheid. Dan moet in een regeling van gezamenlijke verantwoordelijkheid, bijvoorbeeld in een convenant, worden vastgelegd wat de samenwerking inhoudt. Onder andere de gegevensstromen, verdeling van aansprakelijkheid en het doel van de gegevensdeling komen in het convenant aan bod.
In het geval van een uitbesteding, bijvoorbeeld wanneer een organisatie een drukkerij inschakelt om alle klanten brieven toe te sturen, is een verwerkersovereenkomst noodzakelijk. In dit geval is er een opdrachtgever-opdrachtnemerrelatie en blijft de verwerkingsverantwoordelijke (opdrachtgever) verantwoordelijk voor de persoonsgegevens. De verwerker handelt dan ook uitsluitend aan de hand van de verwerkersovereenkomst. Daarin staan naast instructies voor de verwerking, ook een beschrijving van de afgesproken beveiligingsmaatregelen, net als eventuele subverwerkers die worden ingeschakeld. De Autoriteit Persoonsgegevens biedt een overzicht van alle onderwerpen in een verwerkersovereenkomst. U kunt natuurlijk ook contact opnemen met Audittrail en een overeenkomst door onze specialisten laten opmaken.
Soms bent u verplicht gegevens te verstrekken (bijvoorbeeld aan de Belastingdienst) of is het verstrekken van persoonsgegevens een kleine bijkomstigheid binnen een andere opdracht, zoals een bloemist, die een adres nodig heeft om een bos bloemen te bezorgen. Bij gegevensdeling met zulke derden is de andere partij zelf verantwoordelijk en is een overeenkomst niet nodig.
Wees gerust, u kunt de hulp van onze consultants inroepen bij het opstellen van een convenant of verwerkersovereenkomst. Wij kijken met u mee en stellen samen, afhankelijk van de soort gegevensdeling, het type overeenkomst vast en maken de overeenkomst voor u op. Mocht u nu geïnteresseerd zijn in het zelf opmaken van convenanten kunt u op 13 juni 2019 onze training ‘Privacy in de praktijk: Het convenant’ bijwonen. Wanneer u dit liever uit handen geeft bent u natuurlijk altijd welkom ons te bellen op 071-7471717 of te mailen naar koffie@audittrail.nl.