Je doet al jaren zaken met elkaar. Er was in principe geen overeenkomst nodig, of in de loop der jaren zijn de dienten en producten wel aangepast, maar dat contract kwam niet meer uit het dossier…. Als er wat was, dan werd dat gewoon opgelost! Al die rompsslomp! Nergens voor nodig ….
Wat vindt jouw leverancier (de Verwerker) van de AVG?
- Als het voor hem een normale en vanzelfsprekende zaak is, dan herken je dit door het feit dat er al een getekende Bewerkersovereenkomst is!
De Verplichte Verwerkersovereenkomst is dan voor hem gewoon een aanvulling/wijziging op de voorganger, de Wet bescherming persoonsgegevens (Wbp).
- Hecht hij waarde aan het ethische aspect van de AVG?
Is het voor hem vanzelfsprekend tijd en geld te investeren in het beschermen van de belangen van de personen, waar gegevens van worden verwerkt? Zijn zij daar transparant over en vinden zij het vanzelfsprekend dat zij een verantwoordingsplicht hebben? Een plicht naar jou door middel van een deugdelijke Verwerkersovereenkomst, maar ook naar de Autoriteit Persoonsgegevens?
- Maakt jouw leverancier deel uit van de (helaas) grote groep in de ontkenningsfase?
“Het loopt zo’n vaart niet. Ik heb daar geen geld voor over. Ik heb alles goed voor elkaar want mijn leveranciers vertellen mij dit. Het geldt niet voor mij maar voor de grote bedrijven. En …., tot zelfs aan het interesseert mij niet!””
Daarmee gaan zij voorbij aan een nieuwe verplichting. En beseffen zij dus niet dat iedere nieuwe/gewijzigde dienst/product die zij jou aanbieden moet voldoen aan de zogenaamde Privacy by design & default criteria.
- Aanvaard jouw leverancier, in zijn rol als Verwerker, zijn aansprakelijkheid conform de AVG artikel 82?
Of wordt door bijvoorbeeld te verwijzen naar (verouderde?) Algemenen Voorwaarden hier aan voorbijgegaan?
- Levert jouw leverancier diensten zoals hosting? Bijvoorbeeld van de website en/of Office365?
Behandelt de leverancier dit als Uitbesteden/Outsourcing en zijn de overeenkomsten als zodanig opgesteld?
Verzorgt de leverancier die hosting zelf, of wordt de hosting door derden verzorgd (uitbesteed)? Is hij daar open over en geeft hij ongevraagd informatie over deze sub-verwerkers? Wie dat zijn en welke beveiligingsmaatregelen zij nemen, hoe de aansprakelijkheid is geregeld? Is de meldplicht datalekken goed geregeld?
Genoeg om over na te denken! Zijn hier “blinde vlekken” bij, of is alles bekend en in orde?
Binnenkort beschikbaar!