Afbeelding
Foto:

Nieuwe privacywet: dit moet u regelen met leveranciers

De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat u vanaf 25 mei 2018 alleen nog gegevens mag doorsturen als u een verwerkersovereenkomst heeft afgesloten. Hierin regelt u wat de leverancier wel én niet met de data mag doen. Het is belangrijk om de afspraken goed vast te leggen, anders riskeert u een boete.

Veel voorkomende verwerkersovereenkomsten worden afgesloten met websitebouwers, softwareleveranciers, drukkerijen, accountants en verzekeraars. In een verwerkersovereenkomst legt u onder andere vast wat het onderwerp en de duur van de verwerking is, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en hun rechten en plichten. De verwerkersovereenkomst is niet helemaal nieuw. Onder de Wet bescherming persoonsgegevens moest dit ook al; wel zijn er extra verplichte onderwerpen die u aan de verwerkersovereenkomst moet toevoegen.

Gratis privacytool

In de BOVAG Privacytool kunt u een standaardverwerkersovereenkomst downloaden. Aan de hand van een extra checklist kunt u controleren of uw overeenkomst met een derde partij voldoende is 'dichtgetimmerd'. De BOVAG Privacytool helpt in 16 stappen om uw bedrijf klaar te maken voor de AVG. De tool is speciaal ontwikkeld voor ondernemers in de mobiliteitsbranche. Gebruik ervan is gratis voor BOVAG-leden.

820.000 euro boete voor datalek

Bijna iedere ondernemer werkt aan het opbouwen van een klantenbestand. Ontstaat er onverhoopt een datalek dan bent u onder de AVG verplicht om dit te melden bij de Autoriteit Persoonsgegevens. Doet u dit niet, dan kan de boete oplopen tot 820.000 euro.
Er is sprake van een datalek als persoonsgegevens uit uw bedrijf in handen vallen van mensen die geen toegang tot deze gegevens mogen hebben. Meestal gaat het om computerbestanden, maar soms ook om weggegooide papieren documenten. Voorbeelden van digitale datalekken zijn een kwijtgeraakte laptop of USB-stick, een lek in de beveiliging van de website of een gehackte computer. Als ondernemer bent u verantwoordelijk voor adequate beveiliging van persoonsgegevens, het in kaart brengen van de datastroom (wie ziet wat en wie beheert wat?) en daar heldere afspraken over vast te leggen, het opstellen van een draaiboek of protocol voor het geval er een lek ontstaat en het afsluiten van verwerkersovereenkomsten met leveranciers die namens u data beheren of verwerken.