Inloggen
Login met InkopersCafé account Account aanmaken

Premium logo's

Premium logo's

Premium partners

Sidebar premium

Sidebar premium

Gold partners

Sidebar gold

Sidebar gold

Silver partners

Sidebar silver

Sidebar silver
14
06
Robert Grandia
1 Star2 Stars3 Stars4 Stars5 Stars
Door Robert Grandia
Categorie: Column
Soort:

Verlies uw aandacht voor de AVG niet

Verlies uw aandacht voor de AVG niet

In aanloop naar 25 mei besteedden organisaties veel tijd en moeite aan de implementatie van de AVG. We ontvingen dagelijks updates van privacy policy’s in onze mailbox en er werden vele verwerkersovereenkomsten getekend. Inmiddels is de storm weer wat geluwd. Voldoen aan de AVG is echter geen eenmalige operatie. Dat geldt zeker voor inkopers, die een belangrijke rol vervullen in het AVG-proces.

Voldoen aan AVG minder belangrijk?!

Na de hevige druk om de deadline te halen, lijkt de toon na 25 mei veranderd. De Belastingdienst, zo constateert de staatssecretaris van Financiën, voldoet nog niet volledig aan de nieuwe privacywetgeving. Maatregelen zijn getroffen, maar de verwachting is dat men nog een jaar nodig zal hebben. Ook het MKB bleek, in ieder geval kort voor 25 mei, nog niet klaar te zijn. De Autoriteit Persoonsgegevens liet eerder weten er niet op uit te zijn boetes op te leggen aan de duizenden (sport)verenigingen die met de AVG worstelden en hun zaken nog niet hadden geregeld. De realiteit is – en dat weten we allemaal – dat op tal van plaatsen compliance nog een illusie is.

Ondanks de veranderde tone of voice is het van belang dat organisaties doorzetten. De AVG is van kracht en, hoewel misschien enige coulance op korte termijn nog wel valt te verwachten,  is de noodzaak niet verdwenen. Ook bij uw organisatie kan de Autoriteit Persoonsgegevens aankloppen.

Grote rol inkopers bij AVG-implementatie

Inkopers hebben in mijn beleving een flink deel van het werk rond de AVG-implementatie opgepakt. In de afgelopen periode hebben inkopers hun contractenportefeuille geëvalueerd in het licht van de AVG. Daarbij speelden vragen als:

  • Vindt onder de desbetreffende contracten verwerking van persoonsgegevens plaats?
  • Zo ja, welke (wettelijke) rol hebben de partijen (Verwerker, Verantwoordelijke of (mede)Verantwoordelijke) en wat zijn de implicaties daarvan?
  • Welke risico’s kunnen worden geïdentificeerd (uitvoering van een privacy impact assessment, kortweg PIA)?
  • Moet een verwerkersovereenkomst worden afgesloten (na eventuele reeds bestaande bewerkersovereenkomst te hebben getoetst)? 

Inkoopcontracten zijn en blijven een belangrijk punt van aandacht om te voldoen aan de AVG. Het valt dan ook te verwachten dat inkopers en contractmanagers een voorname rol blijven vervullen.

The next step: van project naar proces

Nu 25 mei is gepasseerd is het onderwerp nog niet voorbij. Compliance met de AVG is geen eenmalige operatie. In de uitvoeringsfase van contracten moeten deze voortdurend getoetst worden aan de AVG. Denk aan: 

  • Worden de gemaakte afspraken in verwerkersovereenkomsten nagekomen (aan beide zijden van het contract)?
  • Zijn er wijzigingen in de werkzaamheden en mogelijk dus ook ten aanzien van de verwerking van persoonsgegevens? 
  • Worden technische en organisatorische maatregelen nageleefd en zijn deze nog immer afdoende? 
  • Moet of is het raadzaam om (opnieuw) een PIA uit te voeren?
  • Zijn er nieuwe subverwerkers in beeld (gekomen) en is dit gegaan in lijn met gemaakte afspraken?

Kortom, het project AVG-compliance van de afgelopen periode is vooral het beginpunt van een continu proces. Het proces dient binnen de organisatie geborgd te worden. Inkopers kunnen hier een waardevolle bijdrage aan leveren, wat tegelijkertijd een mooie uitbreiding van hun takenpakket kan betekenen.  

 

Robert Grandia
Door Robert Grandia
Robert Grandia is ICT-jurist met meer dan 18 jaar ervaring als advocaat, bedrijfsjurist en docent. In 2011 heeft hij advocatenbureau Legalz opgericht.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.