Inleiding
Er is inmiddels veel over gezegd en geschreven: de AVG gaat per 25 mei 2018 in. Maar wat houdt deze wet in en wat zijn de invloeden op uw contractmanagement? INCONTO zet voor u de feiten inzake de AVG en contractmanagement op een rij.
De AVG staat voor Algemene Verordening Gegevensbescherming. Vanaf 25 mei 2018 geldt in de hele Europese Unie dezelfde privacywet. De huidige Nederlandse Wet Bescherming Persoonsgegevens geldt vanaf die datum niet meer. In het Engels gebruikt men de term GDPR. Deze staat voor General Data Protection Regulation.
Wat houdt de AVG in?
Het voornaamste doel van de AVG is het beter beschermen van persoonsgegevens én eenzelfde bescherming in de hele EU te regelen. Alle EU lidstaten dienen zich aan deze wet te houden. Echter, niet alleen Europese organisaties! Ook internationale organisaties die gevestigd zijn buiten de EU, maar over persoonsgegevens van inwoners van de EU beschikken, dienen zich aan de AVG te houden.
Organisaties moeten nog duidelijker maken waarom ze persoonsgegevens verzamelen. Maar ook waarvoor ze die gebruiken en hoe lang zij de betreffende data bewaren. Indien burgers inzage in hun bewaarde gegevens vragen, dient de organisatie dit toe te staan. De zeggenschap van de burgers over hun gegevens en wat daarmee gebeurt, vergroot hierdoor. Zo mogen zij hun toestemming om gegevens te verwerken intrekken, maar mogen zij ook bij die organisatie eisen dat zij ‘vergeten’ worden, ook bekend onder ‘het recht op vergetelheid’. Alle organisaties die hun gegevens hebben ontvangen via die organisatie, zijn dan verplicht deze gegevens te wissen.
Verantwoordingsplicht
Als organisatie krijgt u door de AVG meer verantwoordelijkheid om aan te tonen dat u aan de privacyregels voldoet. Door te voldoen aan uw verantwoordingsplicht, ook accountability genoemd, levert u een belangrijke bijdrage aan de privacybescherming van de burgers.
Voldoet uw organisatie aan de regels van de AVG? Dan dient u dit ook te bewijzen. Zo dient u te bewijzen dat de verwerking van de persoonsgegevens aan de belangrijkste beginselen van verwerking voldoen. Deze beginselen zijn o.a. rechtmatigheid, transparantie, doelbinding en juistheid.
Wat zijn de invloeden op contractmanagement?
Hou verhouden de AVG en contractmanagement zich tot elkaar? Contracten bevatten vaak standaardgegevens. De AVG dwingt de organisatie goed te kijken naar de inhoud van deze contracten en met name naar de standaardgegevens. Zijn deze gegevens wel allemaal nodig voor het contract? Het principe ‘privacy by default’ gaat hier werken. Dit houdt in dat er standaard zo min mogelijk gegevens worden verwerkt. Het vereist tevens dat bij de standaardinstellingen van een product of dienst privacy hoog in het vaandel moet staan.
Is het aan de orde dat verwerking van persoonsgegevens onderdeel uitmaken van een contract tussen organisatie en leverancier, wees dan voorbereid! Dit heeft gevolgen op alle manieren waarop er met de gegevens wordt omgegaan. Dit behandelen we verderop in dit blog.
Documentatieplicht
Organisatie die meer dan 250 medewerkers in dienst hebben en waarvan hun gegevensverwerking geen risico oplevert voor de rechten en vrijheden van betrokkenen, hebben geen documentatieplicht. Alle andere organisaties wel. De documentatieplicht houdt in dat de organisatie met documenten moet kunnen aantonen dat zij voldoen aan de eisen en de juiste maatregelen op organisatorisch en technisch vlak hebben genomen.
Verwerkersovereenkomst
Maakt de verwerking van persoonsgegevens onderdeel uit van een contract tussen organisatie en leverancier? Of schakelt uw organisatie andere partijen in om persoonsgegevens voor u te verwerken? Dan moet u met deze partijen een zogenaamde verwerkersovereenkomst afsluiten. Met deze overeenkomst sluit uw organisatie uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken. Verder mag u alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke eisen voldoen. Ook al laat u uw gegevensverwerking door een derde partij uitvoeren, u bent en blijft verantwoordelijk.
Ga daarom goed na bij uw contracten en afspraken met leveranciers cq derde partijen om welke persoonsgegevens het gaat. Én zorg ervoor dat uw organisatie aan de documentatieplicht voldoet én dat de verwerkersovereenkomsten op orde zijn.
Contractmanagementsoftware
Met een goed contractmanagementsysteem heeft u snel inzichtelijk welke contracten er in uw organisatie afgesloten zijn. U ziet dan direct hoe de partijen zich tot elkaar verhouden. Zorg er daarom voor dat uw contractmanagement op orde is.
Bij software is de technische beveiliging een heel belangrijk issue. Is dit geregeld? Het zogenaamde ‘privacy by design’ is een goed uitgangspunt. Dit houdt in dat uw organisatie al tijdens de ontwikkeling van producten en diensten aandacht besteedt aan privacyverhogende maatregelen. Ook verwerkt u zo min mogelijk persoonsgegevens, ook wel dataminimalisatie genoemd. Alleen de persoonsgegevens die echt noodzakelijk zijn, worden verwerkt.
Gebruikt uw organisatie software gebouwd door een softwareleverancier? Ga dan bij hen te rade voor de technische beveiliging van de gebruikte software.
Meer weten over contractmanagement?
INCONTO biedt het meest complete softwarepakket op het gebied van inkoop, contractmanagement en digitale factuurverwerking. Wil u graag weten hoe u uw contractmanagement kunt inrichten en zo optimale inzage krijgt in uw contracten en afspraken met derde partijen? Neem dan nu contact met ons op. Onze medewerkers zijn benieuwd naar uw wensen en adviseren u graag. Onze gegevens: 0172-525272 of info@inconto.com.
Meer weten over de AVG?
Het gros van de theoretische informatie over de AVG in dit artikel komt van de website van de ‘Autoriteit Persoonsgegevens’ vandaan. Wij hebben de voor dit stuk relevante informatie gebruikt en samengevat. Wilt u echter alles over de AVG weten, dan kunt u de website bezoeken via autoriteitpersoonsgegevens.nl.