Voldoen aan de AVG, stap 7 en 8: datalekken en de verwerkersovereenkomst

De Algemene Verordening Gegevensbescherming (AVG) is een Europese regelgeving en vervangt per 25 mei 2018 de Wet bescherming persoonsgegevens. Met de AVG (GDPR) kent de Europese Unie één privacywet. Onder de AVG moet je alle datalekken vastleggen en soms melden bij de Autoriteit Persoonsgegevens (AP). Laat je persoonsgegevens door een ander verwerken? Dan moet je afspraken vastleggen in een verwerkersovereenkomst.

Stap 7: Datalekken documenteren en melden

Een datalek

Een datalek heb je als databestanden worden gehackt of als je onbedoeld toegang geeft tot bestanden. Ook een gestolen laptop of zoekgeraakte usb-stick is een datalek.

De AVG verplicht je om binnen je organisatie alle datalekken vast te leggen en te documenteren.

Datalek melden

Een datalek moet zo snel mogelijk na ontdekking, zo mogelijk binnen 72 uur, worden gemeld bij de Autoriteit Persoonsgegevens. Deze meldingsplicht geldt niet als er geen risico’s voor (natuurlijke) personen uit voortkomen. Wel moet u ook dan het datalek intern vastleggen en documenteren. U beschrijft het datalek, de gevolgen van het datalek en de genomen maatregelen.

Datalek bij verwerken data voor anderen

Verwerk je privacygevoelige data voor anderen? Dan ben je verplicht het datalek te melden aan je opdrachtgever. Je opdrachtgever meldt het zo nodig aan de AP.

Stap 8: Een verwerkersovereenkomst afsluiten

Als een ander bedrijf de persoonsgegevens voor je verwerkt en opslaat, dan moet je met dat bedrijf een verwerkersovereenkomst afsluiten. Zelfs zonder het wijzigen van gegevens kan er al sprake zijn van verwerken. Bijvoorbeeld als een externe helpdesk voor uw bedrijf gegevens inziet.

Wat staat er in een verwerkersovereenkomst?

In een verwerkersovereenkomst spreek je af:

  • wat het doel en de aard van de verwerking is en welke soort persoonsgegevens worden verwerkt.

Verder spreek je hierin af dat:

  • verwerking uitsluitend plaatsvindt op basis van je schriftelijke instructies. Er mogen dus geen persoonsgegevens voor andere doeleinden worden gebruikt;
  • personen in dienst van of werkzaam voor de verwerker, een geheimhoudingsplicht hebben;
  • de verwerker passende technische en organisatorische maatregelen treft om de verwerking van persoonsgegevens te beveiligen;
  • de verwerker zonder je schriftelijke toestemming de verwerking niet door een ander mag laten uitvoeren;
  • de verwerker je helpt om te voldoen aan verzoeken van betrokkenen, als het gaat om hun privacyrechten. Zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit;
  • de verwerker je helpt om andere verplichtingen na te komen, zoals het melden van datalekken;
  • de verwerker na afloop van de verwerkingsdiensten de gegevens verwijdert of naar je terugstuurt. Ook verwijdert hij kopieën, tenzij de verwerker wettelijk verplicht is de gegevens te bewaren;
  • de verwerker meewerkt aan jouw audits of die van een derde partij. Hiervoor stelt de verwerker alle relevante informatie beschikbaar zodat gecontroleerd kan worden of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen.

Voldoen aan de AVG, dit artikel beschrijft stap 7 en 8. 

Meer over de AVG

Alles over de AVG

Stappen om te voldoen aan de AVG

Voldoen aan de AVG

Voldoen aan de AVG, stap 1 en 2: bewustwording en informeren

Voldoen aan de AVG, stap 3 en 4: register en beoordeling impact

Voldoen aan de AVG, stap 5 en 6: inrichten en toezicht

Voldoen aan de AVG, stap 9 en 10: toezichthouder en toestemming vragen

InfoPage