Afspraken met Ketenpartners
Ketenaansprakelijkheid: Wie is verantwoordelijk?
Uw onderneming verwerkt persoonsgegevens, denk eens aan uw CRM met alle klant en relatie gegevens. Uw onderneming is hierbij volgens de Europese privacy wet (AVG) verwerkingsverantwoordelijke, u bepaalt immers het doel van de verwerking en zet middelen in om de verwerking mogelijk te maken.
U doet deze verwerking echter niet alleen, u heeft gekozen voor een SAAS CRM oplossing in de cloud.
Uitbesteding
Met andere woorden er zijn verwerkers in het spel aan wie u taken uitbesteed: de solution provider (beheert de SAAS), de hosting provider (beheert de infrastructuur van de SAAS), de data center eigenaar (faciliteert netwerk en hardware). Elk van deze partijen is in staat om in enige mate de CRM data van uw onderneming te verwerken, is ook opslaan of inzien.
De inzet van deze ketenverwerkers en of sub-verwerkers brengt verantwoordelijkheden met zich mee. U dient als verwerkingsverantwoordelijke in de gehele keten te zorgen dat, in de AVG genoemde, afspraken worden gemaakt over de verwerking van persoonsgegevens.
Onderzoeksplicht
U als verwerkingsverantwoordelijke dient tevens te borgen dat elke (sub)verwerker voldoet aan de afspraken en dit periodiek te controleren. Met andere woorden u heeft een onderzoeksplicht naar een ketenpartij voordat u taken uitbesteedt.
Wanneer een verwerking namens een verwerkingsverantwoordelijke wordt verricht, doet de verwerkingsverantwoordelijke uitsluitend een beroep op verwerkers die afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd.
Wat moet u doen?
Dus in de keten van verwerkingen zijn er een aantal taken voor u als verwerkingsverantwoordelijke:
- Opstellen van de afspraken in een verwerkingsovereenkomst.
- De overeenkomst rechtsgeldig ondertekenen door beide partijen.
- Onderzoeken of de (sub)verwerkers die u wilt gaan inzetten voldoen aan de AVG.
- Periodiek controleren of alle partijen in de keten voldoen aan de afspraken.
- Bij het voorkomen van een data lek onderzoeken waar de oorzaak ligt en eventueel melden.
Ketenaansprakelijkheid ketenverantwoordelijkheid kettingbeding ketenbeding ketenbepaling ketenregeling
