Vierde deel in de nieuwe CIP podcastserie: Privacy in de praktijk, deel II staat live

Het CIP lanceert een nieuwe podcastserie: Privacy in de Praktijk II. De serie bestaat uit zeven afleveringen en acht sprekers. Dit keer is de samenwerking gezocht met de privacy adviseurs van de directie CIO Rijk van het Ministerie van BZK. De serie is gestart op 5 april. Tweewekelijks wordt er op dinsdag een nieuwe aflevering gepubliceerd.

Privacy in de Praktijk II, afl. 1
Beeld: ©CIP

Aflevering 1: Data delen met landen buiten de EU

In de eerste aflevering neemt host Robin Rotman je mee in het verhaal van Peter Kager. Peter is privacy- en ICT-jurist bij ICT Recht en vertelt over het delen en opslaan van data buiten de EU, waar de AVG/GDPR niet geldt. Hoe ga je daarmee om? En voor welke data moet je daarmee rekening houden?

Niet zo eenvoudig, want deze situatie speelt zelfs als er van buiten de EU naar data wordt gekeken, die binnen de EU is opgeslagen. Zoals Peter zegt: ‘Ook al ben je de controle over je data kwijt, het blijft jouw verantwoordelijkheid’. Kortom, tijd voor uitleg. 

Privacy in de Praktijk II, afl. 1: Data delen met landen buiten de EU

Aflevering 2: Horden op de weg naar een goede DPIA

Functionarissen Gegevensbescherming zijn niet altijd tevreden over de DPIA’s die zij krijgen aangeboden. Hoe voorkom je dat dit gebeurt? Maurice Reedijk, socioloog en team manager bij Privacy Management Partners betoogt hoe je niet-juridisch een DPIA kunt uitvoeren, die juristen ook weten te waarderen. Hij legt uit aan host Robin Rotman: ‘Privacy gaat niet over (alleen) regels, maar (vooral) over mensen’.

Privacy in de Praktijk II, afl. 2: Horden op de weg naar een goede DPIA

Aflevering 3: Wie is nu eigenlijk een verwerker?

Over dit onderwerp praten host Robin Rotman en Alex Commandeur, managing consultant bij BMC. Er wordt genoeg gepraat en geschreven over verwerkingsovereenkomsten. Voordat die kan worden opgesteld, moet worden bepaald wat ieders rol is. Ben je verwerker of niet? Het antwoord op die vraag heeft behoorlijke potentiële consequenties, zo vindt ook de Autoriteit Persoonsgegevens. Dus voordat je daarover een positie inneemt: ‘Denk goed na, aan welke kant je staat’.

Wie is nu eigenlijk een verwerker?

0001 00:00:00:00 00:00:02:08

LEVENDIGE MUZIEK
MAN: Wanneer ben je een verwerker?

0002 00:00:02:11 00:00:04:06

ROTMAN:
Welkom bij Privacy in de Praktijk.

0003 00:00:04:09 00:00:06:07

Ik ben Robin Rotman
en in deze podcast

0004 00:00:06:10 00:00:09:07

van het centrum informatiebeveiliging
en privacybescherming

0005 00:00:09:10 00:00:12:02

bespreek ik met deskundigen
de meest interessante vragen

0006 00:00:12:05 00:00:14:13

rond privacy in de dagelijkse praktijk.

0007 00:00:14:16 00:00:16:11

MAN: Denk goed na
aan welke kant je staat.

0008 00:00:16:14 00:00:20:16

ROTMAN: Dat is Alex Commandeur, de
enige echte managing consultant bij BMC.

0009 00:00:20:19 00:00:22:24

Alex, een verwerkingsovereenkomst.

0010 00:00:23:02 00:00:26:13

Dit is volgens mij een van de
meest verwarrende onderwerpen

0011 00:00:26:16 00:00:28:09

waar ik in deze serie over ga praten.

0012 00:00:28:12 00:00:32:20

Want het lijkt heel makkelijk en
er is volgens mij heel veel ruis over.

0013 00:00:32:23 00:00:36:01

Wanneer ben je een verwerker?
Wanneer ben je een verantwoordelijke?

0014 00:00:36:04 00:00:37:14

Ik hoop dat we in dit kwartier

0015 00:00:37:17 00:00:40:09

tot een hoop mooie concrete inzichten
kunnen komen.

0016 00:00:40:12 00:00:43:09

Eerst even: wat is nou eigenlijk
een verwerkersovereenkomst?

0017 00:00:43:12 00:00:46:20

Wat is dat voor een ding?
-Het is, wat 't zegt, een overeenkomst.

0018 00:00:46:23 00:00:50:07

Normaal gesproken sluit je met
een partij met wie je wat gaat doen

0019 00:00:50:10 00:00:52:13

waarmee je gaat samenwerken,
een overeenkomst.

0020 00:00:52:16 00:00:55:15

En in dit geval sluit je ook nog
specifiek een overeenkomst

0021 00:00:55:18 00:00:58:18

over hoe je omgaat met de verwerking
van persoonsgegevens.

0022 00:00:58:21 00:01:00:03

ROTMAN: Je bent een partij.

0023 00:01:00:06 00:01:04:09

Je bent verantwoordelijk voor de
gegevens van de burgers in je gemeente

0024 00:01:04:12 00:01:08:22

of voor je klanten, voor een groep
mensen en gegevens

0025 00:01:09:00 00:01:12:14

en je wil een bepaalde taak
uitbesteden aan een andere partij.

0026 00:01:12:17 00:01:15:07

Die maak je verantwoordelijk
voor bepaalde gegevens.

0027 00:01:15:10 00:01:17:16

En dat wordt dan de verwerker.

0028 00:01:17:19 00:01:20:09

En dan ben jij de verantwoordelijke.
Zeg ik dat goed?

0029 00:01:20:12 00:01:22:08

COMMANDEUR: Ja,
je blijft de verantwoordelijke.

0030 00:01:22:11 00:01:26:01

Als je het hebt over de uitbesteding van
de personeelsadministratie.

0031 00:01:26:04 00:01:30:12

Jij bent als werkgever verantwoordelijk
voor de gegevens van jouw medewerkers.

0032 00:01:30:15 00:01:33:10

Je bent er ook verantwoordelijk voor
dat hun salaris wordt uitbetaald.

0033 00:01:33:13 00:01:35:15

Dat kun je ook uitbesteden
aan 'n andere partij.

0034 00:01:35:18 00:01:37:08

ROTMAN: Hmhm.
-En als je dat doet,

0035 00:01:37:11 00:01:39:23

maak je dus afspraken
over hoeveel geld dat gaat kosten.

0036 00:01:40:01 00:01:42:02

Dat is gewoon de overeenkomst
die je sluit.

0037 00:01:42:05 00:01:44:24

Maar daarnaast wil je ook
dat zij heel netjes omgaan

0038 00:01:45:02 00:01:48:02

met de gegevens van jouw medewerkers
waar jij verantwoordelijk voor bent.

0039 00:01:48:05 00:01:49:22

ROTMAN: Ja. Dus ik
ben daarvoor verantwoordelijk

0040 00:01:50:00 00:01:52:15

en in een overeenkomst
wil ik dat goed dicht tikken.

0041 00:01:52:18 00:01:56:15

Dus je mag ermee aan de slag. Ik huur je
daarvoor in, het is jouw expertise.

0042 00:01:56:18 00:01:59:04

En wat staat er
dan in er in zo'n overeenkomst?

0043 00:01:59:07 00:02:00:17

COMMANDEUR:
Heel belangrijk:

0044 00:02:00:20 00:02:04:15

hoe zij netjes en zorgvuldig omgaan.
Dus hoe beveilig je de gegevens?

0045 00:02:04:18 00:02:08:09

Maar ook: wie mogen erbij?
En waar mogen ze 't voor gebruiken?

0046 00:02:08:12 00:02:12:11

Maar ook niet onbelangrijk:
wat als de overeenkomst eindigt?

0047 00:02:12:14 00:02:14:17

Wat gebeurt er dan
met die personeelsgegevens?

0048 00:02:14:20 00:02:17:15

Blijft die dan tot in lengte van dagen
bij dat bedrijf?

0049 00:02:17:18 00:02:19:22

Of geef je dat weer terug
aan de werkgever?

0050 00:02:20:00 00:02:23:04

En zijn hier ook een soort
standaardovereenkomsten voor

0051 00:02:23:07 00:02:26:05

die je kan downloaden
van internet, bij wijze van spreken

0052 00:02:26:08 00:02:29:20

of waar de AP misschien mee komt
die mij een soort aanzetje geeft.

0053 00:02:29:23 00:02:33:19

Of is het heel specifiek per geval
een nieuwe overeenkomst sluiten?

0054 00:02:33:22 00:02:37:08

COMMANDEUR: Nee, er zitten
heel veel standaardbepalingen in.

0055 00:02:37:11 00:02:39:16

Dus er zijn ook standaardovereenkomsten
vaak

0056 00:02:39:19 00:02:42:04

afhankelijk van de branche
of sector waarin je werkt.

0057 00:02:42:07 00:02:44:05

Bijvoorbeeld voor gemeenten
heeft de VNG

0058 00:02:44:08 00:02:47:05

een standaard verwerkersovereenkomst
gemaakt.

0059 00:02:47:08 00:02:49:22

En dat zie je in heel veel branches
dat daar standaarden zijn gemaakt.

0060 00:02:50:00 00:02:52:06

ROTMAN: Nu vind ik dit
niet zo'n heel ingewikkeld geval.

0061 00:02:52:09 00:02:55:21

Jij noemt de de personeelsadministratie
of salarisuitbetaling.

0062 00:02:55:24 00:02:58:08

Dan gaat het daadwerkelijk
over de gegevens.

0063 00:02:58:11 00:03:01:10

Nu kan ik me ook voorstellen
dat je bijvoorbeeld als, weet ik veel,

0064 00:03:01:13 00:03:04:20

een school met leerlingenvervoer, dan...

0065 00:03:04:23 00:03:10:10

ga jij een partij inhuren om leerlingen
van huis naar school te brengen

0066 00:03:10:13 00:03:14:03

of naar de BSO te transporteren en zo.

0067 00:03:14:06 00:03:18:04

Maar die vervoerder, die werkt
ook met gegevens van mijn leerlingen.

0068 00:03:18:07 00:03:19:24

Moet ik dan
een verwerkersovereenkomst sluiten?

0069 00:03:20:02 00:03:21:18

COMMANDEUR: Nou, wat je ziet,
is dat gemeenten bijvoorbeeld

0070 00:03:21:21 00:03:25:01

in het kader van leerlingenvervoer
uitbestedingen doen.

0071 00:03:25:04 00:03:28:04

Dus leerlingen die niet in staat zijn
om zelfstandig naar school te komen,

0072 00:03:28:07 00:03:30:14

daar kan de gemeente
een voorziening voor treffen.

0073 00:03:30:17 00:03:33:14

En dan kunnen ze bijvoorbeeld
een taxibedrijf inhuren

0074 00:03:33:17 00:03:35:20

die zorgt dat die leerlingen
dan toch nog naar school kunnen.

0075 00:03:35:23 00:03:38:12

ROTMAN: Precies, wat ik net omschrijf.
-Ja.

0076 00:03:38:15 00:03:42:02

En dan is het wel zo:
de uitbesteding gaat dan in dit geval

0077 00:03:42:05 00:03:45:13

over een taxidienst en niet over
het verwerken van persoonsgegevens.

0078 00:03:45:16 00:03:49:08

De focus ligt op de taxiservice en niet
op de verwerking van persoonsgegevens.

0079 00:03:49:11 00:03:52:10

ROTMAN: Er komt dan geen
verwerkersovereenkomst omdat...

0080 00:03:52:13 00:03:55:23

Dat betekent niet dat dat taxibedrijf
niet verantwoordelijk...

0081 00:03:56:01 00:03:58:00

dat ze niet over die gegevens
hoeven na te denken.

0082 00:03:58:03 00:03:59:23

Maar in dat geval
zijn zij verantwoordelijk

0083 00:04:00:01 00:04:04:15

dat zij in hun administratie
hun spulletjes goed organiseren.

0084 00:04:04:18 00:04:07:11

Ik hoef me dan als gemeente
of als school geen zorgen te maken

0085 00:04:07:14 00:04:09:19

of dat wel goed komt. Dat is gewoon dan
hun verantwoordelijkheid

0086 00:04:09:22 00:04:13:09

en niet die van mij omdat het gaat
over vervoer en niet over gegevens.

0087 00:04:13:12 00:04:17:08

COMMANDEUR: Ja, het taxibedrijf is in
dit geval zelfstandig verantwoordelijk

0088 00:04:17:11 00:04:20:05

voor de naleving
van alle bepalingen uit de AVG

0089 00:04:20:08 00:04:23:04

en dus niet in dit geval
de gemeente die zegt:

0090 00:04:23:07 00:04:26:02

dit zijn de gegevens
van de leerlingen die je moet ophalen.

0091 00:04:26:05 00:04:29:13

ROTMAN: Ik kan me ook voorstellen dat
hier een beetje ruimte is om te zoeken.

0092 00:04:29:16 00:04:32:10

Soms willen partijen
een verwerker zijn,

0093 00:04:32:13 00:04:36:14

soms weten ze niet
of ze een verwerker zijn.

0094 00:04:36:17 00:04:38:05

Is dat in de praktijk zo?

0095 00:04:38:08 00:04:41:01

Wat kom jij dan allemaal
tegen dat jij moet gaan uitleggen:

0096 00:04:41:04 00:04:44:09

Ja, maar je bent wel een verwerker
of juist niet.

0097 00:04:44:12 00:04:45:20

Wat is dat... Zit daar ruis?

0098 00:04:45:23 00:04:47:16

COMMANDEUR: Nou, in principe niet,

0099 00:04:47:19 00:04:50:21

maar de praktijk is weerbarstig.
Je kunt het zo gek niet bedenken

0100 00:04:50:24 00:04:53:23

of je ziet in overheidsland
en in de commerciële sector

0101 00:04:54:01 00:04:56:19

dat er allerlei variaties
en samenwerkingen zijn

0102 00:04:56:22 00:04:58:23

die het af en toe wel
wat diffuser maken.

0103 00:04:59:01 00:05:03:19

Dan is het belangrijk dat je even goed
nadenkt over aan welke kant je staat.

0104 00:05:03:22 00:05:06:09

Want er zijn wel gevolgen verbonden

0105 00:05:06:12 00:05:09:08

aan of je verwerker
of verwerkingsverantwoordelijke bent.

0106 00:05:09:11 00:05:13:22

Alle verplichtingen uit de AVG volgen
de verwerkingsverantwoordelijke.

0107 00:05:14:00 00:05:16:18

Dus de AP vindt dat ook
heel interessant,

0108 00:05:16:21 00:05:19:23

want die kijken: naar wie gaan wij
de acceptgiro sturen voor de boete?

0109 00:05:20:01 00:05:21:01

ROTMAN LACHT

0110 00:05:21:04 00:05:24:07

Dus als jij verwerker bent,
heb je een kleinere kans op een boete

0111 00:05:24:10 00:05:27:21

dan als je verwerkingsverantwoordelijke
bent. Want jij moet de AVG naleven.

0112 00:05:27:24 00:05:30:04

ROTMAN: Dus als overheid
kun je ook een verwerker zijn.

0113 00:05:30:07 00:05:33:23

COMMANDEUR: Zeker. Verwerker
voor een andere gemeente bijvoorbeeld.

0114 00:05:34:01 00:05:37:09

ROTMAN: Je kan ook verantwoordelijke
zijn, je kan verwerker zijn en het...

0115 00:05:37:12 00:05:42:05

Je moet eigenlijk per casus, per geval
even goed gaan inchecken bij jezelf:

0116 00:05:42:08 00:05:46:12

Aan welke kant sta ik of wat...
Je kan niet kiezen aan welke kant.

0117 00:05:46:15 00:05:49:13

Je staat, je bent of verwerker,
of je bent verantwoordelijke.

0118 00:05:49:16 00:05:52:13

De AP beschouwt je als verwerker
of verantwoordelijke.

0119 00:05:52:16 00:05:55:00

COMMANDEUR: In die zin
heb je natuurlijk wel 'n keuze

0120 00:05:55:03 00:05:58:17

in sommige gevallen afhankelijk van de
afspraken die je maakt met 'n verwerker.

0121 00:05:58:20 00:06:02:03

Wat ga je uitbesteden?
En daar heb je dus wel een keuze in.

0122 00:06:02:06 00:06:06:00

Maar als jij maar alleen een dienst
uitbesteedt, dan heb je dus een keuze.

0123 00:06:06:03 00:06:08:08

Dan zeg je: nou goed,
dan ben ik geen verwerker,

0124 00:06:08:11 00:06:10:03

maar blijf je
verwerkingsverantwoordelijke.

0125 00:06:10:06 00:06:12:16

Als je zegt: nee,
maar we gaan als hoofdmoot...

0126 00:06:12:19 00:06:15:12

Het belangrijkste doel
van deze overeenkomst

0127 00:06:15:15 00:06:17:19

is het uitbesteden
van die gegevensverwerking.

0128 00:06:17:22 00:06:21:10

Dan wordt het anders. Dan word je
verwerker-verwerkingsverantwoordelijke.

0129 00:06:21:13 00:06:24:21

ROTMAN: Is dit een belangrijk deel
van jouw dagelijkse bestaan in jouw werk

0130 00:06:24:24 00:06:27:08

dat je bezig bent met partijen
om te kijken van:

0131 00:06:27:11 00:06:30:13

Eerst even definiëren: ben ik
een verantwoordelijke of verwerker?

0132 00:06:30:16 00:06:35:10

Wat is nou eigenlijk de core business
van deze deal? Of van deze actie?

0133 00:06:35:13 00:06:39:15

Is dat een belangrijk deel om
te definiëren: aan welke kant sta je?

0134 00:06:39:18 00:06:42:05

COMMANDEUR: Het is belangrijk
om dat te doen überhaupt.

0135 00:06:42:08 00:06:44:17

Omdat daarmee ook afhankelijk is van:

0136 00:06:44:20 00:06:47:10

welke verplichtingen en
verantwoordelijkheden laad je op je?

0137 00:06:47:13 00:06:49:14

Als jij verwerkingsverantwoordelijke
bent

0138 00:06:49:17 00:06:53:22

dan ben jij degene die de verplichtingen
uit de AVG moet nakomen, primair.

0139 00:06:54:00 00:06:55:12

Dus dat is belangrijk om te weten.

0140 00:06:55:15 00:06:57:16

Dat vindt de AP belangrijk,
want dan weten ze

0141 00:06:57:19 00:07:00:00

waar ze de acceptgiro
heen moeten sturen als het misgaat.

0142 00:07:00:03 00:07:03:03

ROTMAN: Kun je een voorbeeld geven
van een gemeente waarvan je zegt:

0143 00:07:03:06 00:07:05:17

het is een beetje diffuus
en het is niet altijd helder.

0144 00:07:05:20 00:07:07:06

Heb je daar een casus bij?

0145 00:07:07:09 00:07:08:24

COMMANDEUR:
We hebben wel gezien

0146 00:07:09:02 00:07:13:09

dat er een gemeente in Nederland
is die een boete heeft gekregen

0147 00:07:13:12 00:07:18:04

omdat ze iets deden wat niet mocht
waar zij in hun verweer aangaven:

0148 00:07:18:07 00:07:20:15

ja, maar wij zijn geen
verwerkingsverantwoordelijke,

0149 00:07:20:18 00:07:23:20

wij zijn verwerker.
En daar ging de AP niet in mee.

0150 00:07:23:23 00:07:26:14

ROTMAN: Kun je iets meer zeggen
over de inhoud van deze ca...

0151 00:07:26:17 00:07:29:15

Je hoeft niet die gemeente te noemen,
dat maakt me niet zoveel uit.

0152 00:07:29:18 00:07:32:21

Waarom was dus kennelijk de aard
van deze casus dat het ingewikkeld...

0153 00:07:32:24 00:07:35:17

COMMANDEUR: Het is een technisch
verhaal. Het ging over wifi-tracking.

0154 00:07:35:20 00:07:38:08

Dan was de vraag:
van wie is dat wifi-tracking?

0155 00:07:38:11 00:07:42:11

Wie verzamelt die gegevens? Wie doet
dat? Wie is daar verantwoordelijk voor?

0156 00:07:42:14 00:07:45:22

Daarvan zei de AP: nee, dat is in
dit geval heel duidelijk de gemeente.

0157 00:07:46:00 00:07:47:15

Terwijl de gemeente in het verweer zei:

0158 00:07:47:18 00:07:49:15

wij zijn geen
verwerkingsverantwoordelijke.

0159 00:07:49:18 00:07:51:03

ROTMAN: Ja, oké, voilà.

0160 00:07:51:06 00:07:54:09

Dus je hebt aan ene kant soms casussen
waarbij het heel duidelijk is:

0161 00:07:54:12 00:07:56:05

dit gaat over personeelsgegevens.

0162 00:07:56:08 00:07:58:22

Dit is duidelijk een partij
die de verantwoordelijke is,

0163 00:07:59:00 00:08:00:08

de andere partij is de verwerker.

0164 00:08:00:11 00:08:02:20

Soms gaat het duidelijk
over een taxivervoerder.

0165 00:08:02:23 00:08:04:24

Dan gaat het over de dienst,
de taxiservice

0166 00:08:05:02 00:08:08:02

en zijn zij zelf verantwoordelijk.
Daar zit dus een wereld tussen

0167 00:08:08:05 00:08:11:23

waarvan echt af en toe wel een beetje
ruimte is voor interpretatie.

0168 00:08:12:01 00:08:14:14

Er is ook nog zo'n bekend geval
van de Ticketcounter.

0169 00:08:14:17 00:08:16:09

Wat is dat voor een casus?

0170 00:08:16:12 00:08:18:01

COMMANDEUR: Het
gaat niet om Ticketcounter,

0171 00:08:18:04 00:08:20:17

maar het gaat erom
dat Ticketcounter,

0172 00:08:20:20 00:08:23:05

en zijn veel meer bedrijven,
die hebben veel klanten.

0173 00:08:23:08 00:08:25:14

Bijvoorbeeld ook overheden
hebben ze als klant.

0174 00:08:25:17 00:08:28:15

En ja, op het moment dat er dan
bijvoorbeeld een datalek ontstaat,

0175 00:08:28:18 00:08:31:05

hebben zij dus te maken
met heel veel klanten.

0176 00:08:31:08 00:08:35:06

ROTMAN: Even één klein stapje terug.
Wat is Ticketcounter?

0177 00:08:35:09 00:08:37:04

COMMANDEUR: Het gaat niet
om wat Ticketcounter is,

0178 00:08:37:07 00:08:39:07

want dit gaat niet
over de casus van Ticketcounter.

0179 00:08:39:10 00:08:43:05

Maar stel dat je een bedrijf inschakelt,
of dat nou bijvoorbeeld Google is...

0180 00:08:43:08 00:08:45:05

Veel partijen maken gebruik van Google.

0181 00:08:45:08 00:08:48:14

Als er bij Google een datalek is,
dan is dus niet alleen bij één klant,

0182 00:08:48:17 00:08:51:18

maar waarschijnlijk bij heel veel
klanten sprake van een datalek.

0183 00:08:51:21 00:08:53:15

Ja, wat voor afspraken
heb je dan met Google?

0184 00:08:53:18 00:08:57:05

Gaat Google dan voor jou
dat datalek melden of ga je dat zelf?

0185 00:08:57:08 00:08:58:16

Nou ja, je kunt je voorstellen

0186 00:08:58:19 00:09:00:21

dat Google in dit geval
het niet fijn zou vinden

0187 00:09:00:24 00:09:03:12

als ze 300 keer contact
op moeten nemen met klanten

0188 00:09:03:15 00:09:06:06

om te vertellen dat ze een datalek
hebben en afspraken moeten maken

0189 00:09:06:09 00:09:08:16

over hoe ze dat gaan melden bij de AP.

0190 00:09:08:19 00:09:11:04

ROTMAN: En wat zegt de AP dan
in zo'n geval?

0191 00:09:11:07 00:09:13:21

COMMANDEUR: De AP vindt het niet
zo spannend wie er meldt

0192 00:09:13:24 00:09:17:01

als er maar gemeld wordt
en er duidelijke afspraken over zijn.

0193 00:09:17:04 00:09:20:11

ROTMAN: Eh, maar dan zegt
de AP niet van:

0194 00:09:20:14 00:09:24:11

Google is hier de verwerker en
de partij die daarmee in zee is gegaan,

0195 00:09:24:14 00:09:27:19

die is de eindverantwoordelijke
of hier is Google de verantwoordelijke

0196 00:09:27:22 00:09:30:14

en die moet dit melden.
-Het gaat over onderlinge afspraken.

0197 00:09:30:17 00:09:33:12

De AP vindt het prima
als jij als verwerkingverantwoordelijke

0198 00:09:33:15 00:09:35:04

de afspraak maakt met de verwerker

0199 00:09:35:07 00:09:37:15

dat de verwerker
namens jou die melding doet.

0200 00:09:37:18 00:09:40:04

ROTMAN: Ah, oké. Dus het is
niet zo dat je automatisch

0201 00:09:40:07 00:09:43:00

of de verantwoordelijke bent
of de verwerker.

0202 00:09:43:03 00:09:47:13

Als je een afspraak maakt met onderling
en je komt er samen uit,

0203 00:09:47:16 00:09:50:08

dan maakt het in principe niet zo
heel veel uit waar je staat,

0204 00:09:50:11 00:09:53:08

als je het maar goed vastlegt.
-Nee, nee, nee, nee.

0205 00:09:53:11 00:09:56:04

ROTMAN: Hier is het dus ingewikkeld.
Voor mij in ieder geval.

0206 00:09:56:07 00:09:59:08

COMMANDEUR: Dan leg ik 't niet goed uit.
ROTMAN: Of ik ben niet slim genoeg.

0207 00:09:59:11 00:10:02:22

De vraag is: als je een verwerker en een
verwerkingsverantwoordelijke hebt

0208 00:10:03:00 00:10:05:16

en er is een datalek,
wie gaat dat datalek dan melden?

0209 00:10:05:19 00:10:08:06

Dan zegt de wet duidelijk:
de verwerkingsverantwoordelijkheid.

0210 00:10:08:09 00:10:10:16

ROTMAN: De verantwoordelijke
is de melder. Helder.

0211 00:10:10:19 00:10:14:17

COMMANDEUR: Nou is de praktijk wel zo
dat er bedrijven zijn met veel klanten.

0212 00:10:14:20 00:10:16:04

En dan zou het dus betekenen

0213 00:10:16:07 00:10:19:13

dat dat bedrijf met al die klanten
contact moet gaan opnemen over de vraag

0214 00:10:19:16 00:10:23:01

of de verwerkingsverantwoordelijke
dit dan een datalek vindt of niet

0215 00:10:23:04 00:10:24:15

en wat er gemeld moet worden.

0216 00:10:24:18 00:10:28:00

Nou, dat is voor een bedrijf met heel
veel klanten eigenlijk ondoenlijk.

0217 00:10:28:03 00:10:30:01

Dus maak je dan afspraken van:

0218 00:10:30:04 00:10:33:08

nou ja, wij gaan namens
de verwerkingsverantwoordelijke

0219 00:10:33:11 00:10:34:24

melden bij de toezichthouder.

0220 00:10:35:02 00:10:36:21

ROTMAN: Oké, helder.

0221 00:10:36:24 00:10:40:08

Oké, even praktisch en concreet:
wat zijn nou de belangrijkste tips?

0222 00:10:40:11 00:10:43:16

Ik ben een partij
en ik wil op een of andere manier

0223 00:10:43:19 00:10:46:19

een bepaalde taak uitbesteden
aan een andere partij.

0224 00:10:46:22 00:10:49:16

En ik moet zo'n verwerkingsovereenkomst
gaan opstellen.

0225 00:10:49:19 00:10:53:00

Hoe pak ik dit nou aan?
Wat is nou de allereerste stap?

0226 00:10:53:03 00:10:55:21

Dat is waarschijnlijk:
bepaal je positie.

0227 00:10:55:24 00:10:58:14

COMMANDEUR: Ja, de eerste stap
is weer goed nadenken over:

0228 00:10:58:17 00:11:02:00

wat ga ik nu uitbesteden?
Is dat alleen maar een dienst

0229 00:11:02:03 00:11:04:05

en ga ik alleen maar
een taxibedrijf inhuren?

0230 00:11:04:08 00:11:08:07

Of ga ik echt de verwerking
van persoonsgegevens uitbesteden?

0231 00:11:08:10 00:11:12:08

COMMANDEUR: Een voorbeeld is 'n
bloemetje voor de zieke medewerker.

0232 00:11:12:11 00:11:14:23

Ga je met de bloemist
op de hoek van de straat

0233 00:11:15:01 00:11:18:06

een verwerkersovereenkomst afsluiten
voor het bezorgen van het bloemetje?

0234 00:11:18:09 00:11:22:11

Ik denk het niet. Maar dat zijn dingen
waar je vooraf even over moet nadenken.

0235 00:11:22:14 00:11:23:15

ROTMAN: Oké.

0236 00:11:23:18 00:11:28:03

COMMANDEUR: Een goeie
handreiking kan zijn:

0237 00:11:28:06 00:11:32:14

kan die partij zelfstandig
een grondslag gebruiken?

0238 00:11:32:17 00:11:35:18

Hebben zij een goeie reden
om de gegevens te verwerken zelfstandig?

0239 00:11:35:21 00:11:38:10

Als dat zo is, als ze een
zelfstandige grondslag hebben,

0240 00:11:38:13 00:11:40:23

zullen ze vaak
verwerkingsverantwoordelijke zijn.

0241 00:11:41:01 00:11:43:02

ROTMAN: Dan zijn zij
de verwerkingsverantwoordelijke.

0242 00:11:43:05 00:11:46:07

Oké, dus de eerste stap is eigenlijk:
definieer eigenlijk even:

0243 00:11:46:10 00:11:49:06

wat is nou de aard van deze taak?

0244 00:11:49:09 00:11:51:08

Waar zitten we naar te kijken
met z'n allen?

0245 00:11:51:11 00:11:54:07

En heb je dat goed bekeken,
dan ga je kijken:

0246 00:11:54:10 00:11:58:10

aan welke kant sta ik dan eigenlijk?
Dat vloeit daaruit voort.

0247 00:11:58:13 00:12:01:16

En dan ga je met die partijen kijken:
wat zijn nou de afspraken?

0248 00:12:01:19 00:12:05:16

En hoe gaan we dat in zo'n overeenkomst
zetten? Zeg ik dat goed zo?

0249 00:12:05:19 00:12:08:04

COMMANDEUR: Ja, de eerste stap
is: aan welke kant sta ik?

0250 00:12:08:07 00:12:10:04

Ben ik verwerker
of werkingsverantwoordelijke?

0251 00:12:10:07 00:12:13:00

In de meeste gevallen
helpt het dan om te kijken van:

0252 00:12:13:03 00:12:16:03

nou ja, als ik het uitbesteed,
gaat het dan over de hoofdmoot,

0253 00:12:16:06 00:12:17:11

verwerking persoonsgegevens?

0254 00:12:17:14 00:12:21:01

Of gaat het over de hoofdmoot,
uitbesteding van een dienst of taak?

0255 00:12:21:04 00:12:23:24

ROTMAN: Bloemetjes bezorgen.
-Bloemetjes bezorgen, taxi rondrijden.

0256 00:12:24:02 00:12:26:08

En als je nou
zo'n overeenkomst wil gaan opstellen,

0257 00:12:26:11 00:12:28:06

heb je dan concrete tips
hoe je dat dan doet?

0258 00:12:28:09 00:12:31:13

Want dat is natuurlijk
heel erg casusafhankelijk.

0259 00:12:31:16 00:12:34:18

COMMANDEUR: Ja, de belangrijkste tip
als je zo'n overeenkomst gaat opstellen:

0260 00:12:34:21 00:12:37:18

maak gebruik van een format,
een vastgesteld iets

0261 00:12:37:21 00:12:40:22

wat binnen jouw branche
of sector gebruikelijk is.

0262 00:12:41:00 00:12:43:20

Maar dan gaat het er wel om
dat jij heel goed omschrijft

0263 00:12:43:23 00:12:46:22

datgene wat de taak of de dienst is
die je gaat uitbesteden.

0264 00:12:47:00 00:12:50:03

Wat dat inhoudt, waar het over gaat.
Dat is wel erg belangrijk.

0265 00:12:50:06 00:12:54:22

En zorg ook dat de naleving van
bijvoorbeeld beveiligingsvoorschriften

0266 00:12:55:00 00:12:56:16

dat je dat ook kunt aantonen.

0267 00:12:56:19 00:13:00:11

Dat overschrijven van dat er eh...

0268 00:13:00:14 00:13:03:10

Wat staat er ook alweer zo
mooi in de AVG?

0269 00:13:03:13 00:13:06:17

Passende organisatorische en
technische beveiligingsmaatregelen.

0270 00:13:06:20 00:13:08:12

Dat is een onvoldoende omschrijving

0271 00:13:08:15 00:13:11:03

als het gaat over het naleven
van de beveiliging,

0272 00:13:11:06 00:13:15:04

maar ze kunnen dat bijvoorbeeld ook
aantonen met audits of certificeringen.

0273 00:13:15:07 00:13:19:09

Ik kan me ook voorstellen dat het een
soort defensieve actie zou kunnen zijn

0274 00:13:19:12 00:13:23:21

als je gewoon even vaststelt van: jij
bent hier de verantwoordelijke, niet ik.

0275 00:13:23:24 00:13:27:00

COMMANDEUR: Wat bedoel je daarmee?
-Dat je tegen een partij zegt:

0276 00:13:27:03 00:13:30:04

even voor de helderheid, ik heb een
bepaalde dienst van jou afgenomen,

0277 00:13:30:07 00:13:32:20

maar jij moet wel zorgen
dat je die gegevens goed regelt.

0278 00:13:32:23 00:13:34:24

Jij bent hier de verantwoordelijke,
niet ik.

0279 00:13:35:02 00:13:37:08

Dat het een beetje defensief
is dat je zegt van:

0280 00:13:37:11 00:13:39:24

dat je misschien op papier zet
dat dat het geval is.

0281 00:13:40:02 00:13:42:04

COMMANDEUR: Ik weet niet
of dat defensief is.

0282 00:13:42:07 00:13:45:07

Dat is wat mij betreft: zorgen dat je
vooraf duidelijke afspraken maakt.

0283 00:13:45:10 00:13:48:17

Dat doe je met elk contract. Mt elke
partij met wie je afspraken gaat maken,

0284 00:13:48:20 00:13:53:00

wil je vooraf duidelijk hebben
wie welke verantwoordelijkheid
en verplichtingen heeft.

0285 00:13:53:03 00:13:55:13

Nou, dat doe je nu specifiek
voor persoonsgegevens.

0286 00:13:55:16 00:13:59:20

ROTMAN: Ja, en dan is jouw hoofdmoot
eigenlijk...

0287 00:13:59:23 00:14:03:06

Zoals zo vaak als het gaat over privacy,
dan zijn regels, regels, regels.

0288 00:14:03:09 00:14:08:00

Maar eigenlijk is de hoofdmoot ook:
gebruik je gezonde verstand ook gewoon

0289 00:14:08:03 00:14:10:09

en kijk even aan welke kant
je nou werkelijk staat.

0290 00:14:10:12 00:14:12:24

COMMANDEUR: Zeker. Gezond verstand
is in privacyland heel belangrijk.

0291 00:14:13:02 00:14:15:22

De vraag is altijd:
kan ik dit thuis uitleggen?

0292 00:14:16:00 00:14:18:03

Als je het thuis kunt uitleggen,
ben je meestal al een heel eind

0293 00:14:18:06 00:14:19:22

als je gezond verstand hebt gebruikt.

0294 00:14:20:00 00:14:23:18

ROTMAN: Dank je wel, Alex Commandeur,
managing consultant bij BMC.

0295 00:14:23:21 00:14:26:09

Als je ook de andere afleveringen
wil terugluisteren

0296 00:14:26:12 00:14:28:08

van Privacy in de Praktijk, dat kan.

0297 00:14:28:11 00:14:31:11

Ga dan naar
cip-overheid.nl/uitgelicht.

Aflevering 4: Personeel volgsystemen en privacy

Florianne Hamelink, senior legal consultant bij Considerati, is in deze podcast in gesprek met host Robin Rotman. Florianne legt uit dat er regels zijn om systemen in te richten, waarmee je medewerkers volgen of hun activiteiten registreren. Eén van de piketpaaltjes is ‘gerechtvaardigd belang’, maar er zijn en nog wel een paar. Haar advies: Als het minder ingrijpend kan, doe dat dan.

Privacy in de Praktijk II, afl. 4: Personeel volgsystemen en privacy