De AVG: wat staat u te wachten als ICT-dienstverlener?

24 mei 2018

Jelmer Overdijk

Privacy

AVG ict privacy netwerk software

Op 25 mei 2018 treedt de Algemene verordening gegevensbescherming (AVG) in werking. Vanaf dat moment gelden nieuwe, strengere regels voor bedrijven die met persoonsgegevens werken. Dat geldt óók voor u: externe ICT-dienstverleners die ondernemingen hierin ondersteunen. Wij hebben op een rij gezet wat de nieuwe privacywetgeving voor u betekent.

Hoe zit het ook alweer met de AVG?

Per 25 mei 2018 is de Nederlandse Wet bescherming persoonsgegevens niet langer van toepassing en gelden in de gehele Europese Unie dezelfde regels voor privacybescherming: de Algemene verordening gegevensbescherming (AVG). De wet wordt overigens ook wel aangeduid met de Engelse term: General Data Protection Regulation (GDPR).

Autoriteit Persoonsgegevens

De AVG brengt een uitbreiding van de privacyrechten van personen met zich mee. Dat geldt voor bedrijven die dergelijke gegevens verwerken, maar ook voor de externe dienstverleners die hen daarin bijstaan. Die verantwoordelijkheid brengt mee dat ook ICT-dienstverleners goed moeten kunnen onderbouwen dat zij hun zaken op orde hebben, bijvoorbeeld tegenover de Autoriteit Persoonsgegevens.

Netwerkmonitoring, hosting en netwerkbeheer

Voor u als verlener van ICT-diensten is een aantal zaken belangrijk. Veel ondernemingen maken bij de bedrijfsvoering gebruik van externe ICT-dienstverleners. Denk aan de uitbesteding van (web)hosting diensten, netwerkonderhoud, beheer van websites en webshops. Maar ook het netwerkmonitoring, softwareontwikkeling of vormen van (online)marketing als Google Analytics. Bij het verlenen van uw ICT-diensten zal al snel sprake zijn van het werken met persoonsgegevens. Dat doet u namens de opdrachtgever en daardoor wordt u ook wel ‘verwerker’ genoemd.

Waar moet als ICT-dienstverlener op letten?

AVG ict privacy netwerk softwarePersoonsgegevens vormen alles wat in verband kan worden gebracht met een natuurlijk persoon. Daarbij kan het gaan om een naam, een telefoonnummer, een bankrekening- of creditcardnummer. Maar ook een IP- of woonadres. Ook maakt de AVG onderscheid tussen persoonsgegevens en bijzondere persoonsgegevens. In dat laatste geval worden strengere voorwaarden gesteld aan de verwerking.

Verwerker

Verleent u in opdracht ICT-diensten waarbij verwerking van persoonsgegevens aan de orde is, dan legt de AVG u een aantal zelfstandige verplichtingen op. De AVG introduceert een gedeelde aansprakelijkheid voor de opdrachtgever én u als de verwerker. U kunt allebei worden aangesproken door degene van wie de gegevens worden verwerkt. En u kunt beiden worden beboet door Autoriteit Persoonsgegevens.

De verwerkersovereenkomst

Wanneer u als ICT-dienstverlener persoonsgegevens verwerkt voor uw opdrachtgever, dan verplicht de AVG tot het sluiten van een schriftelijke verwerkersovereenkomst. Kort gezegd: u dient concrete afspraken te maken over de wijze waarop u namens uw opdrachtgever aan gegevensverwerking doet. De wijze waarop u de afspraken met uw opdrachtgever vastlegt, is aan uzelf. U kunt een afzonderlijke verwerkersovereenkomst afsluiten. Of u kunt de die afspraken integreren in een zogeheten ‘overeenkomst van opdracht’ waarin ook de dienstverlening wordt overeengekomen. Van belang is dat de afspraken op papier staan. Een digitale vastlegging voldoet ook aan die eis.

Implementatie afspraken

Het enkel vastleggen van afspraken met uw opdrachtgever is niet voldoende. U zult die afspraken ook daadwerkelijk moeten implementeren in uw organisatie. De verplichtingen die de AVG oplegt aan uw opdrachtgever, worden op veel punten op vergelijkbare manier opgelegd aan u als verwerker.

Beschermen software en hardware

Als verwerker of ICT-dienstverlener heeft u de verplichting op om passende technische en organisatorische maatregelen om de gegevensverwerking te bevestigen. Zo zal software en hardware voldoende moeten worden beschermd en zult u ook de opslag en toegang tot persoonsgegevens binnen uw organisatie moeten doorlichten.

Datalekken

AVG ict privacy netwerk softwareNet als uw opdrachtgever, heeft u een zelfstandige verplichting tot het bijhouden van een verwerkingsregister. Dat is een schriftelijke vastlegging van alle handelingen, zoals bijvoorbeeld wat u verzamelt aan gegevens, hoe lang en met welk doel. Ook bent u verplicht datalekken te melden aan de Autoriteit Persoonsgegevens en in sommige gevallen zelfs aan de persoon van wie gegevens zijn gelekt.

Data Protection Impact Assessment

Daarnaast zult u mogelijk een functionaris voor de gegevensbescherming (FG) aan moeten stellen. U kunt daar bijvoorbeeld toe verplicht zijn als uw kernactiviteit het op grote schaal verzamelen van bijzondere privacygegevens is. Denk daarbij aan gegevens over iemands gezondheid, ras, politieke opvatting, geloofsovertuiging of strafrechtelijk verleden. De verplichting tot het aanstellen van een FC kan ook gelden voor bedrijven die als kernactiviteit op grote schaal personen volgen en op grote schaal hun persoonsgegevens verweken. Moet u gegevens met een hoog privacyrisico verwerken, dan dient u uw opdrachtgever bij te staan in de uitvoering van een zogenaamd Data Protection Impact Assessment.

Hulp nodig?

Kortom, ook voor de ICT-dienstverlener is de AVG een aandachtspunt. Het is belangrijk om een inventarisatie te maken van de wijze waarop u namens uw opdrachtgever persoonsgegevens verwerkt en of uw organisatie voldoet aan de AVG, niet alleen op papier maar ook in de praktijk. Wilt u weten wat de AVG betekent voor uw situatie? Of heeft u een verwerkersovereenkomst ontvangen die u wilt laten beoordelen? Of wilt u een volledige privacyscan? Jelmer Overdijk helpt u graag verder.