Door de AVG wordt de verwerkersovereenkomst geïntroduceerd: een overeenkomst waarin wordt beschreven wie welke verantwoordelijkheid heeft en wat er gebeurt mocht er toch een beveiligingsincident plaatsvinden. Dit alles moet helder en ondubbelzinnig opgeschreven staan. U sluit zo’n overeenkomst af met uw verwerkers. Dat kunnen softwareleveranciers zijn, zoals wij, maar ook met uw accountant moet u zo’n overeenkomst opstellen!
Op 25 mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) in heel Europa van kracht. Deze nieuwe wetgeving bevat twee grote wijzigingen op het gebied van privacy. Ten eerste krijgen Europese burgers, zoals uw cliënten, meer rechten, zoals het recht op vergetelheid en dataverplaatsing. Ten tweede is de verwerking van gegevens gebonden aan striktere regels. Zo moet u ook een verwerkingsregister bijhouden, waarin onder andere staat beschreven welke gegevenscategorieën u verwerkt en met welk doel u deze verwerkt.
Onderscheid tussen verwerker en verwerkingsverantwoordelijke
De AVG maakt vervolgens onderscheid tussen de verwerker en de verwerkingsverantwoordelijke. De verwerker verwerkt in opdracht van de verwerkingsverantwoordelijke gegevens. Een softwareleverancier kan door middel van zijn softwarepakket een verwerker zijn, maar ook een accountant kan tot deze groep behoren. U moet afspraken maken met deze verwerkers en deze afspraken moeten vervolgens worden vastgelegd in de verwerkersovereenkomst.
In de verwerkersovereenkomst staan afspraken over doeleinden van de verwerking, wederzijdse verplichtingen en verantwoordelijkheden. De verplichtingen en verantwoordelijkheden gaan bijvoorbeeld over hoe er met de data wordt omgegaan, maar ook hoe de data beveiligd is en wat er gebeurt als er inbreuk is op de persoonsgegevens. Wij sluiten ook zo’n verwerkersovereenkomst af met onze klanten, zodat zij erop kunnen vertrouwen dat wij voldoen aan de AVG.
Beveiliging al op het hoogste niveau
Eisen die aan beveiliging zijn gesteld, kunnen al ondergebracht zijn in de SLA’s van uw verwerkers, maar kijk kritisch of alle onderdelen van de AVG ook daarin zijn opgenomen. Uiteraard nemen wij, als softwareleverancier, daar onze verantwoordelijkheid in. De beveiligingseisen uit de AVG komen overigens overeen met de certificeringen van ISO27001 en NEN7510, dus als uw verwerker voldoet aan deze normen, dan bent u al een heel eind op weg.
Ook moet in de verwerkersovereenkomst opgenomen zijn hoe de verwerker en verwerkingsverantwoordelijke omgaan met een beveiligingsincident. Welke stappen moeten worden genomen? Hoe zorgen de betrokken partijen dat het incident wordt opgelost en in de toekomst wordt voorkomen? Ook moeten de striktere rechten van de Europese burgers opgenomen worden in de overeenkomst en hoe de verwerker en verwerkingsverantwoordelijke hieraan voldoen.
Alles juridisch getoetst
De AVG vraagt in het kort om uitleg van procedures, ingerichte controles en verhoogde databeschermingsmaatregelen. Een verwerkersovereenkomst moet daarom helder en ondubbelzinnig geschreven zijn. Alles moet juridisch getoetst zijn om aan te kunnen tonen dat de verwerker en verwerkingsverantwoordelijke alles hebben gedaan om risico’s te vermijden. Dat betekent dat u als zorgaanbieder uw zaken op orde moet hebben, maar dat ook wij onze verantwoordelijkheid hierin nemen!
Mocht u vragen hebben over de AVG of wilt u weten of uw organisatie klaar is voor de AVG, neem contact op met TTS Technology To Serve.