Per 25 mei 2018 moet bij organisaties de ingrijpend gewijzigde privacywetgeving geïmplementeerd zijn. Dit is ook van belang voor contractmanagers, omdat veel contracten onder de werkingssfeer vallen van de nieuwe Algemene Verordening Gegevensbescherming (AVG/GDPR). Bij niet-naleving dreigen fikse boetes en op de koop toe reputatieschade. Werk aan de winkel voor de contractmanager.
Relevantie AVG voor contractmanagement
Voor contractmanagement begint de privacywetgeving primair bij alle contracten die de verwerking van persoonsgegevens omvatten. Het is goed te realiseren dat de betekenis van “verwerking” van persoonsgegevens zeer breed is. Het omvat een heel scala van handelingen, waaronder: verzamelen, vastleggen, opslaan, raadplegen, wijzigen, gebruiken, verstrekken of vernietigen. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”). Denk aan naam, adres en BSN maar ook aan zogenaamde (zwaarder beschermde) “bijzondere persoonsgegevens” als ras, etnische afkomst, religie, gezondheid of seksuele gerichtheid.
In veel voorkomende contracten maakt de verwerking van persoonsgegevens evident deel uit van de door de leverancier uit te voeren werkzaamheden. Echter daarnaast is vaak de verwerking van persoonsgegevens een bijproduct, noodzakelijk voor de uitvoering van het contract. Denk bijvoorbeeld aan contracten voor cloud computing en hosting, contracten voor de vernietiging van (papieren) dossiers met een daarin gespecialiseerd bedrijf of de inhuur van freelancers die met persoonsgegevens in aanraking komen. Een uiterst kritische toets is dus vereist.
Rol van de contractmanager
Niet-naleving van de AVG kan voor jouw organisatie leiden tot reputatieschade en forse boetes (tot € 20 mln. of 4% van de jaaromzet). Indien van hogerhand de implementatie nog niet in gang is gezet, kun je de urgentie aankaarten. Daarnaast kan de contractmanager zich proactief opstellen in het kader van risicomanagement en compliance van zijn contracten. Daarvoor dient de contractmanager eerst een inventarisatie te maken van de contracten die binnen de scope van de AVG vallen. In welke contracten speelt de verwerking van persoonsgegevens?
Contracten die binnen de scope vallen dienen te worden beoordeeld. Een greep uit de vragen over gegevensverwerking die dan voorliggen:
- Is een verwerkersovereenkomst gesloten en, zo ja, voldoet deze aan de nieuwe, strengere eisen die worden gesteld door de AVG? Je vindt hier een checklist.
- Zijn (mogelijk) delen van de verwerking van persoonsgegevens uitbesteed aan subverwerkers? En welke subverwerkers betreft het dan en wat heeft de verwerker daarmee afgesproken?
- Welke beveiligingsmaatregelen treffen de verwerkingsverantwoordelijke, verwerker en subverwerker(s)?
- Is sprake van gegevensverwerking in niet-EU-landen (bijvoorbeeld indien data wordt opgeslagen op servers in de Verenigde Staten)?
Dergelijke vragen kun je vinden en beantwoorden middels een zogenoemde Privacy Impact Assessment (PIA). De PIA is een middel om de effecten en risico’s van de verwerking van persoonsgegevens te beoordelen. Mogelijk is binnen jouw organisatie een PIA voorhanden. Anders is een handreiking en vragenlijst voor het uitvoeren van een PIA, bijvoorbeeld te vinden op de website van de beroepsorganisatie van IT-auditors (NOREA).
Indien je tot de conclusie komt dat nog geen verwerkersovereenkomst is gesloten of de huidige verwerkersovereenkomst niet voldoet aan de AVG, dan dient uw organisatie actie te ondernemen. De contractmanager speelt dan in het bijzonder een rol bij de onderhandelingen en bij de totstandbrenging van nieuwe of gewijzigde (verwerkers)overeenkomsten. Bovendien hoort bij verwerkersovereenkomsten de nodige nazorg zoals audits en teruggave van data bij het eindigen van de overeenkomst.