In mei 2018 gaat de nieuwe Europese privacywet GDPR/AVG in. De bescherming van persoonsgegevens wordt sterk uitgebreid en iedere organisatie zal met de nieuwe regels te maken krijgen. Omdat uw en onze dagelijkse werkzaamheden voor een groot deel bestaan uit het verwerken van persoonsgegevens, bereiden we ons goed voor op de invoering. Het is complexe materie, zelfs voor mensen die bekend zijn met het onderwerp. In dit blog beschrijven we waar we bij Vreugd Software mee bezig zijn om ervoor te zorgen dat wij als verwerker en u als verantwoordelijke straks op tijd klaar zijn voor de AVG.
De informatie in deze blog is geschreven om onze klanten te informeren over de aanstaande wijzigingen. Heeft u specifieke vragen, maar bent u geen klant van Vreugd Software, dan adviseren wij u om de officiële website van de Autoriteit Persoonsgegevens te bezoeken en contact op te nemen met uw eigen softwareleverancier.
Wat is een verwerker?
De persoon of organisatie die persoonsgegevens verwerkt voor de verantwoordelijke. In dit geval is Vreugd Software de verwerker voor uw organisatie. De verwerker is niet verantwoordelijk voor de persoonsgegevens, maar wel voor beveiliging en geheimhouding.
Officieel is uw organisatie als verwerkingsverantwoordelijke diegene die moet zorgen dat u aan alle nieuwe regels van de AVG voldoet. Wel moet Vreugd Software – als uw verwerker – u helpen om aan die verplichtingen (zoals beveiliging, meldplicht datalekken en uitvoeren DPIA) te kunnen voldoen en meewerken aan eventuele verzoeken van de Autoriteit Persoonsgegevens. Maar omdat onze klanten allemaal met dezelfde privacyvraagstukken zitten, en het niet mogelijk is om iedereen direct invloed te laten uitoefenen op heel specifieke privacy-instellingen van de software, nemen wij een deel van de maatregelen op ons. Dit doen we in samenwerking met Nederland ICT, de grootste belangenvereniging voor bedrijven in de ICT sector.
Verwerkersovereenkomst
De verwerker (Vreugd Software) handelt in opdracht van u als verwerkingsverantwoordelijke. De afspraken leggen we vast in een verwerkersovereenkomst. Deze bevat onder andere:
Verwerkingsopdracht en bijbehorende instructie;
Onderwerp, doel, aard en duur van de verwerking;
Categorieën personen en persoonsgegevens die verwerkt worden door Vreugd Software;
Rechten van betrokkenen;
Rechten en plichten van uw organisatie als verwerkingsverantwoordelijke;
Vertrouwelijkheid;
Aansprakelijkheid;
Beveiliging;
Datalekken;
Audits;
Exit-procedure;
Sub-verwerkers;
Nederland ICT is bezig om een verwerkersovereenkomst op te stellen, die we bij Vreugd Software zullen gaan hanteren. Voor huidige klanten wordt het een addendum op de algemene voorwaarden van de bestaande overeenkomst.
Technische beveiliging
De software en servers zijn bij Vreugd Software standaard heel goed beveiligd. Dat was al zo en dat blijft zo. Mocht vanuit het assessment van Nederland ICT blijken dat er wel extra maatregelen nodig zijn om te voldoen aan de AVG, dan zorgen we er uiteraard voor dat dit ruim binnen de deadline gerealiseerd is.
Documentatie
Wij documenteren voor welke organisaties wij een verwerkingsopdracht uitvoeren. Daarnaast moeten wij als verwerker ook een register van verwerkingsactiviteiten bijhouden. Deze is beknopter dan het register van verwerkingsactiviteiten dat u als verantwoordelijke moet bijhouden. Op aanvraag van de Autoriteit Persoonsgegevens geven wij inzicht in dit register.
Subverwerkers
Vreugd Software heeft op haar beurt weer overeenkomsten met andere partijen, bijvoorbeeld datacenters voor de hosting van onze software. De afspraken met deze subverwerkers worden ook vastgelegd.
Privacy by default & design
Dit punt is een gedeelde verantwoordelijkheid van uw organisatie en Vreugd Software. Aan deze maatregelen zijn echter geen harde eisen gekoppeld in de AVG wettekst. Privacy by default houdt in dat u standaard de meest privacy-vriendelijke optie gebruikt bij de verwerking van persoonsgegevens. Bijvoorbeeld door in formulieren op de webshop alleen informatie te vragen die echt nodig is. Of door het vakje ‘aanmelden voor de nieuwsbrief’ niet vooraf aan te vinken. Hierbij kunnen wij ondersteunen door in de software bepaalde default instellingen aan te passen volgens de nieuwe regels. Privacy by design heeft betrekking op het uitwerken van nieuwe producten, diensten of features. Dit moet altijd gedaan worden met de AVG-regels in gedachten. Bij de doorontwikkeling van Vreugd Software bedrijfssoftware en webshop software zullen we steeds rekening houden met de rechten en plichten rondom privacy.
Uitvoeringswet AVG
Er zijn een aantal punten in de AVG waarop landen de vrijheid hebben de AVG nader in te vullen of de uitvoering praktisch te regelen. In Nederland komt er daarom een Uitvoeringswet AVG (UAvg). Een wetsvoorstel daartoe is in de kerstvakantie ingediend bij de Tweede Kamer. Nederland ICT heeft in een brief een reactie gestuurd. Bij Vreugd Software houden we de ontwikkelingen nauwlettend in de gaten en volgen we de richtlijnen zoals Nederland ICT die opstelt.
Laatste stand van zaken:
Voorlopig kunnen we concluderen dat alles rondom de AVG nog niet goed is geregeld door onze regering. Ze hebben wel hoge boetes bepaald. Maar veel is onduidelijk en niet goed geregeld.
Hierdoor zijn de boetes alweer met een jaar uitgesteld
De verwachting is dat dit ook met de AVG zal gebeuren.
De verwachting is verder dat de gehele AVG misschien wel binnen de algemene voorwaarden gaat vallen.
Heel veel onzekerheden dus.
We houden u op de hoogte
Vreugd Software