In het kader van de AVG (“Algemene Verordening Gegevensbescherming") dient uw bedrijf rekening te houden met derden die iets doen met uw of in uw bezit zijnde persoonsgegevens van derden. Wanneer en aan welke derden moet u te denken?
Verwerking van persoonsgegevens. Het is van belang om te kijken welke derde partijen persoonsgegevens voor u verwerken. De verwerking van een persoonsgegeven is een ruim begrip. De wet noemt hier als voorbeelden het volgende: het verzamelen, vastleggen, ordenen, structureren, opslaan, bewerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op een andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens. Deze lijst is zeker niet limitatief, maar wel een goede indicatie. Is er sprake van een verwerking, dan zegt de wet dat u de verantwoordelijke bent en dient u te zorgen voor de juiste bescherming van de persoonsgegevens in uw systemen.
Een derde partij. Uw bedrijf slaat ongetwijfeld persoonsgegevens, welke u krijgt van uw klanten, leveranciers, werknemers, etc., op in verschillende systemen. Daarnaast maakt u gebruik van andere partijen, bijvoorbeeld voor een reserveringssysteem. Een derde partij kan ofwel een eigen systeem hebben, waar uw website naar doorlinkt, ofwel levert u een applicatie voor op uw website, of heeft op de een of andere manier toegang tot uw systemen. Het is belangrijk om hierbij te kijken of deze andere partij in uw opdracht de gegevens verwerkt in de zin van de wet. Natuurlijk zult u denken: u betaalt voor het reserveringssysteem, dus daarmee geeft u automatisch opdracht. Het tegendeel is echter waar.
Geen verwerker. Een aantal bedrijven hebben een eigen verplichting onder de wet, bijvoorbeeld de Belastingsdienst onder de Belastingwet, en daarmee de AVG, om persoonsgegevens te verwerken, ongeacht of u daar opdracht toe geeft of niet. Ook zijn er bedrijven, welke zelfstandig een dienst leveren en daarmee zelf verantwoordelijke zijn onder de AVG. De bloemist ontvangt persoonsgegevens van u om namens u een mooi bosje bloemen te kunnen bezorging. In het geval van het reserveringssysteem geldt dat indien de derde partij de app aan u heeft gegeven en vervolgens als dienst alleen het onderhoud doet, maar zelf de gegevens niet verzamelt of bewaart op een eigen server, dan is deze derde geen verwerker.
Wanneer dan wel een verwerker? Indien er sprake is van verwerking onder de definitie van de wet en het gaat niet om bovengenoemde categorieën, dan is de derde een verwerker in de zin van de AVG. Dit is het geval indien uw, of in uw bezit zijnde, persoonsgegevens bij de derde op de server komen of de derde partij is een helpdesk voor uw klanten. Een goede richtlijn is of u de dienst inkoopt (geen verwerker), of u besteedt een dienst uit (wel een verwerker). In het geval de derde een verwerker is, dan bent u nog steeds verantwoordelijke voor uw klantgegevens, maar u kunt wel de verantwoordelijkheid delen. Hoe? U sluit een verwerkersovereenkomst met deze derde. Doet u dit niet, dan blijft alle verantwoordelijkheid bij u.
Het loont om uw website/ webshop eens goed onder de loep te nemen en na te gaan welke derde partij persoonsgegevens van u krijgt en deze verwerkt in uw opdracht in de zin van de AVG. Daar sluit u vervolgens een verwerkersovereenkomst mee af om de verantwoordelijkheid en risicoaansprakelijkheid te delen.
Add comment
Comments