De AVG, werk aan de winkel!

Nog zo’n 100 dagen te gaan en dan gaat de Algemene Verordening Gegevensbescherming (AVG) in, de nieuwe “versie” van wat tot op heden de Wet Bescherming Persoonsgegevens (Wbp) heet. Er is veel berichtgeving over de AVG (waaraan ook vaak wordt gerefereerd als de Global Data Protection Regulation, kortweg GDPR) en er zijn ook minstens zoveel vragen of onduidelijkheden.

Bij NetServe merken wij dat er in dit licht ook veel naar de IT-inrichting, IT-beheerder en/of IT-dienstverlener wordt gekeken. Zeker niet onterecht, maar voor een deel ook niet geheel terecht. Om die reden ook deze berichtgeving vanuit onze zijde.

Wat is de AVG, wie heeft dat bedacht, wie handhaaft deze?

De Algemene Verordening Gegevensbescherming is een heuse wet en letterlijk de nieuwe ‘versie’ van de Wbp. Met dit verschil, de Wbp was een Nederlandse aangelegenheid, de GDPR een Europese en de AVG is de Nederlandse afgeleide daarvan. De wetgeving is dus bedacht door de EU en in Nederland wordt de wet gehandhaafd door de reeds bestaande Autoriteit Persoonsgegevens.

Voor wie geldt de AVG?

Kort gezegd: voor elke organisatie. Elke organisatie die persoonsgegevens opslaat krijgt te maken met de AVG. U moet dat voor uw organisatie dus in kaart gaan brengen en zaken op orde brengen. Net zoals wij dat voor onze organisatie moeten doen.

En hier zit wel een interessant punt: NetServe heeft voor de uitoefening van haar taken toegang tot bepaalde delen van de informatie van úw organisatie en zeer waarschijnlijk ook zelfs tot bepaalde persoonsgegevens. U heeft ons daarvoor opdracht gegevens in de vorm van de beheerovereenkomst die we met uw organisatie hebben.

Wij hosten en/of beheren namelijk uw servers, hebben daar dus toegang toe en in die zin ook impliciet of expliciet tot uw gegevens, waaronder uw (te beschermen) persoonsgegevens.

 

Rolverdeling en verwerken.

De AVG kent een rolverdeling als het gaat om informatie en persoonsgegevens. Binnen die rolverdeling worden informatie en persoonsgegevens verwerkt, zoals de AVG dat noemt, overal in de wetgeving gaat het over het verwerken van persoonsgegevens.

De rolverdeling is hier als volgt: degene om wie het gaat bij de persoonsgegevens heet de betrokkene, degene die deze persoonsgegevens bewaart en opslaat en verwerkt heet de verwerkingsverantwoordelijke.

De verwerkingsverantwoordelijke kiest er vervolgens vaak voor om het verwerken uit te besteden aan een verwerker (die in sommige gevallen soms zelfs een sub-verwerker inschakelt).

NetServe is voor de eigen bedrijfsvoering en het opslaan en verwerken van onze eigen klant- en persoonsgegevens, zowel verwerkingsverantwoordelijke als verwerker. Als wij persoonsgegevens van u en uw collega’s en medewerkers opslaan (bijvoorbeeld in een mailbox of ticket in ons systeem), dan bent u dan wel uw collega of medewerker de betrokkene.

Voor onze dienstverlening aan uw organisatie bent u de verwerkingsverantwoordelijke en zijn wij de verwerker.

In bepaalde gevallen kiezen wij ervoor om diensten uit te besteden aan sub-verwerkers. Een bekende sub-verwerker is bijvoorbeeld Microsoft als u via NetServe de diensten van Office 365 afneemt: uw mailbox staat bij Microsoft in de cloud, die u afneemt via NetServe.

Het zijn uw gegevens, u bent dus de verantwoordelijke. U besteedt het hosten en beheren uit aan NetServe, wij zijn dus de verwerker, maar kiezen er weer om het feitelijk hosten van uw mailbox uit te besteden aan Microsoft, zij zijn dus de sub-verwerker.

 

Verwerkersovereenkomst(en).

Binnen de AVG is het van belang dat er afspraken worden gemaakt over dat verwerken van die persoonsgegevens. Daarnaast schrijft de AVG allerlei zaken voor over hoe hiermee omgegaan dient te worden, welke informatie mag worden verzameld over personen, hoe lang die informatie mag worden bewaard etc.

Naast dat er dus algemene wetgeving is, is het ook van belang dat alle organisaties afspraken maken met elkaar over hoe zij onderling regelen hoe er met deze persoonsgegevens wordt omgegaan. Dat doen wij door middel van de zogenoemde verwerkersovereenkomsten. Alle verantwoordelijken en verwerkers dienen met elkaar verwerkersovereenkomsten af te sluiten.

 

Taak voor IT?

Waarom in het licht van de AVG toch vaak naar de IT-manager, IT-afdeling of IT-dienstverlener wordt gekeken, is wel duidelijk: in veel bedrijven wordt IT ingezet voor de opslag van persoonsgegevens.

Om die reden is “IT” zeker betrokken bij de AVG, het verwerken en dus ook bij de verwerkersovereenkomsten. Maar, in de basis is elke organisatie zelf “aan de bal” als het gaat om het inventariseren van gegevens en het afsluiten van verwerkersovereenkomsten. Maar, hoe sluit je nu zo’n overeenkomst en wat moet daarin staan?

In Nederland zijn er twee brancheorganisaties voor IT: Nederland ICT en ICT Waarborg. NetServe werkt al jaren samen met ICT Waarborg en laat zich in het licht van de AVG ook ondersteunen door ICT Waarborg.

Wij zullen u daarom de komende tijd één of meer verwerkersovereenkomsten aanbieden die weliswaar niet afkomstig zijn van ICT Waarborg, maar die wel worden goedgekeurd en ondersteund door ICT Waarborg.

Voor de feitelijke invulling van de AVG voor onze organisatie en dienstverlening maken wij gebruik van de diensten van een gespecialiseerd bedrijf, die niet alleen NetServe begeleidt hierin maar ons ook ondersteunt in het assisteren van onze klanten als het gaat om de AVG.

Dit maakt ons zeker geen privacy-deskundigen, maar zorgt er wel voor dat wij ook uw organisatie kunnen assisteren als het gaat om het nemen van maatregelen in het kader van de AVG. In de meeste gevallen werken u en wij namelijk aan hetzelfde systeem als het hierover gaat en dus is het verstandig om op dit punt gezamenlijk in kaart te brengen waar welke maatregelen nodig zijn en welke overeenkomsten moeten worden gesloten.

 

Voortgang.

We hopen u met deze ‘AVG-introductie’ te informeren over wat er van u en uw organisatie wordt verwacht en hoe precies datzelfde geldt voor ons en onze organisatie. De komende maanden zullen we u uiteraard nader informeren over de vorderingen en stand van zaken en mag u ook van ons verwachten dat wij met voorstellen voor de verwerkersovereenkomst(en) zullen komen.

 

En zoals altijd: als u vragen heeft, neem contact met ons op.

We spammen nooit en sturen eens per maand een mailtje met onze nieuwste verhalen.
logo

Contact

Vestigingsadres
De Wederik 5A
3355 SK  Papendrecht

T. 078-7600076
E. info@netserve.nl

Routebeschrijving

Wij zijn partner van