Hoe de AVG jou helpt om met de juiste partners samen te werken

 

In onze tweede blog schreven we hoe de AVG jou helpt de kern van jouw dienstverlening te versterken, van kwantiteit naar kwaliteit. In deze blog lichten we een ander aspect van de AVG toe: de verwerkersovereenkomst. Die helpt jou om jouw hoge niveau van dienstverlening door te trekken naar de partners waarmee je reeds samenwerkt of wilt gaan samenwerken.

verwerkersovereenkomst_partners_pluform

Wie is eindverantwoordelijk?

Tijdens een coach- of begeleidingstraject beschik je vaak over de persoonsgegevens van je cliënt. Zo ben je als coach al snel in het bezit van een grote hoeveelheid aan contactgegevens, factuurgegevens en (psychologische) gezondheidsgegevens. Wanneer jij bepaalt welke gegevens er worden verzameld en met welk doel ben jij volgens de AVG  verwerkingsverantwoordelijke. Dat wil zeggen dat jij eindverantwoordelijk bent voor het op de juiste manier bewaren en beveiligen van de gegevens die jouw cliënten aan jou hebben toevertrouwd. Dit betekent ook dat je erop toeziet dat de gegevens niet verder worden verspreid aan derden zonder uitdrukkelijke toestemming van je cliënt (enkele wettelijke uitzonderingen daargelaten).

 

Wie heeft toegang tot de gegevens van jouw cliënten?

Jouw rol als verwerkingsverantwoordelijke sluit prima aan bij de verantwoordelijkheid die je waarschijnlijk al via je ethische beroepscode hebt of eventuele andere wettelijke voorschriften behorende bij je beroepsgroep. De situatie kan echter complex worden afhankelijk van de manier waarop je de gegevens verwerkt, opslaat en bewaart. Vanuit jouw verwerkingsverantwoordelijkheid kun je ervoor kiezen om de van je cliënt verkregen gegevens in eigen beheer te houden. Je kunt papieren dossiers bijvoorbeeld achter slot en grendel bewaren of alleen bewaren op je werkcomputer die beveiligd is met een virusscanner en een wachtwoord. Je kunt er echter ook voor kiezen de gegevens onder te brengen bij een externe partij. Een externe partij die gegevens van jouw cliënten in jouw opdracht verzamelt, bewaart of verwerkt wordt binnen de AVG een verwerker genoemd.

 

De kans is groot dat jij reeds samenwerkt met een of meerdere verwerkers. Denk bijvoorbeeld aan:

  • De aanbieder van een programma waarmee nieuwsbrieven verzonden kunnen worden zoals Mailchimp en Newsletter2Go.
  • De aanbieder van een (online) boekhoudprogramma waarin factuurgegevens van je cliënt staan zoals Reeleezee, SnelStart en Exact Online;
  • Een aanbieder van een online dienst om bestanden uit te wisselen en te bewaren, zoals Dropbox, OneDrive, iCloud, Facebook;
  • Aanbieders van communicatieprogramma’s zoals e-mail, Skype en WhatsApp waarin telefoonnummers, adresgegevens en e-mailadressen van jouw cliënten staan;
  • Een aanbieder van een cliëntvolgsysteem, zoals Pluform, waarin je het dossier van je cliënt bijhoudt;
  • Aanbieders van programma’s waarmee jouw cliënten (online) vragenlijsten en testen kunnen invullen zoals 123test.nl, Google Docs en HFM online assessments.

Over het algemeen maakt het inschakelen van verwerkers de situatie complexer. Dit omdat de AVG jou ook verantwoordelijk maakt voor de activiteiten van de door jou ingeschakelde verwerker. Dat kan spannend zijn, want je hebt geen volledige controle over de manier waarop de verwerker met jouw cliëntgegevens omgaat. Hoe zorg je er voor dat de verwerker net zoals jij op een integere en AVG-correcte manier omgaat met de cliëntgegevens? Hiervoor is de verwerkersovereenkomst in het leven geroepen.

 

Belangrijk: AVG-afspraken maken met jouw verwerkers

De AVG heeft het verplicht gesteld aan verwerkingsverantwoordelijken om een verwerkersovereenkomst af te sluiten met al hun verwerkers. In zo’n verwerkersovereenkomst maak je afspraken over de plichten van de verwerker. Je beschrijft onder andere het onderwerp, de duur, de aard en het doel van de verwerking. Daarnaast beschrijf je dat de verwerker persoonsgegevens enkel op basis van geheimhoudingsplicht verwerkt en de gegevens weer verwijdert als jullie overeenkomst is beëindigd. Wil je meer informatie over wat er volgens de AVG in een verwerkersovereenkomst moet staan? Lees er hier meer over.

Door de AVG word je verplicht om verwerkingsovereenkomsten af te sluiten. Dit wil echter niet zeggen dat elke verwerker zich ook netjes aan zijn AVG-plichten houdt. Uit onderzoek van PWC  blijkt bijvoorbeeld dat een jaar na invoering van de wettelijke regels voor het melden van ‘datalekken’, 42% van de organisaties in Nederland deze regels nog steeds niet opvolgt. Het blijft dus een kwestie van opletten of de verwerker de gemaakte afspraken ook nakomt.

partners_pluform 

Let op met standaard overeenkomsten

Er zijn verwerkers die proactief een standaard verwerkersovereenkomst aanbieden aan hun opdrachtgevers. Dit is natuurlijk een mooie service. Hierbij is het wel goed opletten of de standaardovereenkomst inhoudelijk wel correct is. Bij diverse buitenlandse (vaak Amerikaanse) aanbieders van bijvoorbeeld communicatiesoftware zie je inmiddels dat ze enigszins onduidelijke regelingen opnemen in hun overeenkomsten of zoveel mogelijk verantwoordelijkheden proberen af te schuiven. Hier zullen in de toekomst waarschijnlijk de nodige rechtszaken over gevoerd worden. Het is dan ook van belang om een verwerkingsovereenkomst goed door te nemen en te bepalen of deze voldoet aan de AVG.

Er zijn ook verwerkers die een gratis versie van hun programma/platform/dienstverlening aanbieden en enkel een verwerkingsovereenkomst aanbieden aan betalende klanten (en in kleine lettertjes aangeven dat hun gratis versie niet geschikt is voor professioneel gebruik). Je moet dan overstappen naar een betaalde versie.

 

Alles in eigen hand of uitbesteden? Een korte checklist

De vraag is: wat is beter? De gegevens zelf behouden zodat jij de enige verwerker bent? Of verwerkers inschakelen? Het antwoord op deze vraag is niet eenduidig en afhankelijk van met welke verwerker je in zee gaat. De ene verwerker springt namelijk beter om met de AVG en met de persoonsgegevens die jij hem toevertrouwt dan de andere verwerker. In sommige gevallen zal het beter zijn om de gegevens bij jezelf te houden. In andere gevallen kan het juist heel verstandig zijn om een betrouwbare verwerker in te schakelen. Die kan namelijk veel van jouw zorgen op het gebied van databeveiliging wegnemen.

 

Overweeg je een (nieuwe) verwerker in te schakelen? Let dan in elk geval op onderstaande punten:

  • Is de verwerker duidelijk over de bewaartermijn van de persoonsgegevens?
  • Is de verwerker duidelijk over hoe hij de persoonsgegevens beschermt?
  • Weet je waar de gegevens naartoe gaan? (buitenland of andere partijen?)
  • Helpt de verwerker je om te voldoen aan de privacywetgeving of maakt hij het je juist moeilijker?
    • Bijvoorbeeld met het helpen van jou om te voldoen aan je plichten als cliënten hun privacyrechten willen uitoefenen (zoals het recht op vergetelheid)?
    • En met het niet zomaar inschakelen van subverwerkers (dat zijn verwerkers die voor de verwerker persoonsgegevens verwerken) zonder jouw toestemming?

 

Verwerkers die de AVG serieus nemen zullen hun interne processen goed op orde hebben en duidelijk zijn over de getroffen technische en organisatorische beveiligingsmaatregelen. Dit alles moet vastgelegd zijn in een heldere verwerkingsovereenkomst. Op deze manier helpt de AVG jou in het samenwerken met partijen waaraan jij de gegevens van jouw cliënten met gerust hart kunt toevertrouwen.

 

Doe de AVG-check!

Wil je meer weten over verwerkersovereenkomsten en handvatten krijgen hoe jouw organisatie voldoet aan de AVG? Met onze gratis AVG-checker heb je binnen 5-15 minuten een heldere to-do lijst met de acties die jij nog moet ondernemen. De to-do lijst bevat ook een uitgebreid onderdeel over het verwerkingsregister.

Klik hier voor de AVG-checker

  • Lees hier blog 2: Met de AVG terug naar de kern van je dienstverlening
  • Lees hier blog 1: De mindset: de AVG bewijst ons een enorme dienst

 

 

Reacties zijn gesloten.