Met welke partijen doen wij eigenlijk allemaal zaken?

Waarschijnlijk klinkt dit bekend in de oren. De HR-afdeling regelt een softwarepakket voor de personeels- en salarisadministratie. Marketing & Communicatie werkt samen met marketingbureaus, zorgt ervoor dat er vele cookies worden geplaatst en is natuurlijk druk bezig met allerlei marketingcampagnes. En laten we vooral de overige afdeling niet vergeten, zoals ICT, Financiën en Facilitair. Verschillende teams die zakendoen met verschillende partijen. Er worden allerlei contracten gesloten. Probeer dan maar eens het overzicht te houden als privacy officer of functionaris voor gegevensbescherming (FG). In deze blog geven we enkele tips om ervoor te zorgen dat je wel een beeld hebt van de verschillende leveranciers.   

Inventarisatie

Begin bij het begin. Ga in gesprek met de verschillende teams en vraag met welke organisaties er veelal wordt samengewerkt, of van welke software gebruik wordt gemaakt.  Gedurende het gesprek zal je merken dat er steeds meer partijen boven water komen. De commerciële contracten zijn vaak wel gesloten, anders wordt de dienstverlening ook niet geleverd door de leverancier. Maar is er ook een verwerkersovereenkomst gesloten? Een vraag waar niet altijd een antwoord op kan worden gegeven.

Taken & verantwoordelijkheid

Als privacy officer of FG wil je betrokken blijven bij de organisatie. Je wilt op de hoogte zijn van nieuwe ontwikkelingen, of de inzet van een nieuwe leverancier omdat jij verantwoordelijk bent voor de afspraken op het gebied van privacy. Zorg er dan ook voor dat je zichtbaar bent binnen de organisatie. Houd de lijntjes kort. Het liefst wil je een vast aanspreekpunt binnen elk team. Dan is het wel van belang dat je hier iemand voor aanwijst die als (extra) taak krijgt om verwerkersovereenkomsten eerst aan jou voor te leggen voordat de overeenkomst gesloten wordt. Maar uiteindelijk dien jij als privacy officer of FG te controleren dat er afspraken worden gemaakt over de verwerking van persoonsgegevens.  

Verwerkingsregister

Het verwerkingsregister is een overzicht van alle verwerkingsactiviteiten die zich binnen de organisatie voordoen. Van het afhandelen van sollicitaties, tot het versturen van nieuwsbrieven of het uitbetalen van de salarissen. Het verwerkingsregister bevat de volgende gegevens:

  • Naam en de contactgegevens van de organisatie, en van de FG indien er een is aangesteld
  • Verwerkingsdoeleinden
  • Categorieën betrokkenen en persoonsgegevens
  • Categorieën van ontvangers
  • Doorgifte van persoonsgegevens aan derde landen
  • Bewaartermijnen
  • Beveiligingsmaatregelen

Zoals hierboven is aangegeven moet in het verwerkingsregister onder andere komen te staan wat de ‘categorieën van ontvangers’ zijn. Dat zijn bijvoorbeeld IT-dienstleveranciers, betalingsdienstverleners of uitzendbureaus. Neem je dit zo op in het verwerkingsregister, dan houd je je aan wat er in de Algemene verordening gegevensbescherming staat maar dan is het helemaal niet duidelijk wie die ontvangers dan zijn. Daarom kun je er beter voor kiezen om de daadwerkelijk bedrijfsnaam van de ontvanger op te nemen in het verwerkingsregister, en vervolgens te vermelden of er wel of geen verwerkersovereenkomst is gesloten.

Het is misschien even een grote kluif om in kaart te brengen met welke partijen er allemaal zaken worden gedaan. Maar als je eenmaal een goed overzicht hebt, dan is het een kwestie van bijhouden. Hulp nodig? Neem contact op met een van onze juridische adviseurs uit het privacyteam.

Terug naar overzicht