Als je events organiseert is de kans groot dat je werkt met externe leveranciers die gegevens verwerken namens jouw organisatie: bijvoorbeeld je registratie- of softwarepartners of een Email Service Provider. Volgens de nieuwe privacywetgeving* ben je vanaf 25 mei 2018 verplicht een verwerkersovereenkomst af te sluiten met iedere leverancier die gegevens verwerkt namens jouw organisatie. In zo’n overeenkomst bepaal je in grote lijnen het type gegevens dat verwerkt wordt en de verplichtingen en verantwoordelijkheden van de leverancier. In dit artikel zetten we de hoofdlijnen van de overeenkomst voor je op een rij.
* De nieuwe privacywetgeving heet Algemene Verordening Gegevensbescherming (AVG). Ook de Engelse naam General Data Protection Regulation (GDPR) wordt vaak gebruikt.
Bedrijven die hun beveiligingsbeleid goed op orde hebben, sluiten nu ook al een dergelijke overeenkomst af. De overeenkomst heet nu nog ‘bewerkersovereenkomst’. De naam gaat dus veranderen - en in de nieuwe ‘verwerkersovereenkomst’ moeten een aantal extra onderwerpen worden opgenomen. Maar het grootste verschil is dat iedere organisatie vanaf mei 2018 verplicht is om een dergelijke overeenkomst af te sluiten met alle leveranciers die persoonsgegevens verwerken. Doe je dit niet, dan riskeert jouw organisatie een hoge boete.
TIP: Wacht niet te lang! Het afsluiten van dergelijke overeenkomsten kost tijd.
De onderwerpen van een verwerkersovereenkomst op een rijtje:
Zoals bij iedere overeenkomst bepaal je de looptijd en beëindiging van de overeenkomst. Maak je gebruik van event software met een licentie? Zorg dan dat deze termijn hierop aansluit.
Een duidelijke omschrijving van de reden waarom de leverancier (in jouw naam) persoonsgegevens verwerkt, bijvoorbeeld voor eventregistratie of een event enquête.
Gegevens die doorgaans gevraagd worden in het registratieformulier zijn naam, bedrijf en functie. Maar let op: dieetwensen, pasfoto’s, creditcard- en paspoortgegevens zijn bijzondere persoonsgegevens. Deze gegevens zijn extra gevoelig en vergen een ander beveiligingsniveau. Wees terughoudend met het vragen van deze gegevens, zelfs wanneer je denkt ze écht nodig te hebben voor jouw event. Stem duidelijk af welke gegevens wel en niet gevraagd mogen worden in het registratieformulier.
Bij Nederlandse organisaties wordt vaak gesteld dat de verwerker handelt binnen de Nederlandse wetgeving omtrent data en privacy. Eventueel extra verplichtingen kunnen hieraan toegevoegd worden.
De nieuwe wetgeving stelt dat de data binnen de EU opgeslagen en verwerkt moet worden. Werk je met leveranciers uit de Verenigde Staten? Bespreek dan met jouw collega van de juridische afdeling hoe hiermee om te gaan.
Als opdrachtgever ben je verantwoordelijk voor de data, maar ook de verwerker (leverancier) heeft zijn verantwoordelijkheden. Het is heel belangrijk om af te stemmen wie waar verantwoordelijk voor is in het geval van een datalek
Vraag het beveiligingsbeleid van jouw leveranciers op. Omdat jij eindverantwoordelijk bent voor de data, dien je jouw leveranciers te hierop beoordelen. Een goede leverancier is transparant in het beleid, zodat je samen met jouw collega’s van security kunt bepalen of de beveiliging in lijn is met de eisen van het beleid van jouw organisatie. Stem de uiteindelijke afspraken vast in de overeenkomst.
Een nieuw belangrijk onderdeel van de GDPR/AVG wetgeving: wanneer er een datalek optreedt bij jouw leverancier, zijn zij verplicht dit bij jou te melden (wanneer het jouw data betreft) - wet meldplicht datalekken. Jouw organisatie moet dit als verantwoordelijke melden bij de Europese toezichthouder. In de verwerkersovereenkomst stem je af binnen hoeveel tijd de melding gemaakt moet worden - en wat er precies gemeld moet worden.
Wellicht werkt jouw leverancier ook leveranciers (sub-verwerkers) om de service te kunnen verlenen. Zorg ervoor dat je weet wie dit zijn op het moment dat je de service afneemt. In dit onderdeel wordt vastgesteld dat jouw leverancier niet zomaar andere sub-verwerkers mag inzetten zonder jouw toestemming. Zo bewaak je als verantwoordelijke de keten van verwerkers en sub-verwerkers.
Stem af hoelang jouw data bewaard wordt en wat er met de data gebeurt na het beëindigen van de overeenkomst. Volgens de nieuwe wetgeving is elke organisatie verplicht een register bij te houden mbt het verwerken van de persoonsgegevens. Hierin staat welke gegevens verwerkt worden, voor welk doel en hoe lang ze bewaard blijven. De activiteiten van jouw leverancier moeten hierin bijgehouden worden. Stem de termijn dus duidelijk af in de overeenkomst.
* Momice slaat de persoonsgegevens van jouw event niet langer op dan nodig. 30 Dagen na het event wordt de data automatisch verwijderd. Kom er hier achter hoe je door gebruik te maken van Momice event software voldoet als event organisatie aan de voorwaarden van de GDPR.
Stem af welke informatie als vertrouwelijk moet worden behandeld en wie toegang heeft tot deze informatie. Let op: het gaat hier niet alleen om persoonsgegevens, maar ook over correspondentie tussen jou en je leverancier.
Als verantwoordelijke van de data heb je het recht één keer per jaar een controle te laten uitvoeren door een onafhankelijke partij (op eigen kosten). De verwerker dient hieraan mee te werken zodat de afspraken, het beleid en de processen gezamenlijk gecontroleerd kunnen worden.
Als je events organiseert werk je waarschijnlijk met externe leveranciers die gegevens verwerken namens jouw organisatie. Vanaf mei volgend jaar moet je als organisatie verplicht een verwerkersovereenkomst afsluiten met al je leveranciers, met een aantal verplichte onderdelen. Wanneer jouw organisatie nog niet werkt met dergelijke overeenkomsten, is dit een goed moment om hiermee aan de slag te gaan. Begin op tijd en werk samen met leveranciers en de juridische afdeling van jouw organisatie, zodat jij op tijd helemaal klaar bent voor de nieuwe privacywet!