Waarborgen van en verantwoorden met de AVG en Wbb

Verantwoordingsplicht en verantwoorden

Een bedrijf wil zich kunnen verantwoorden als het aangesproken wordt op de naleving van de AVG en de Wbb. Beide wetten kennen een omgekeerde bewijslast omdat het bedrijf moet kunnen aantonen dat de maatregelen ter bescherming van persoonsgegevens en bedrijfsgeheimen effectief hebben gewerkt. Persoonsgegevens en bedrijfsgeheimen kennen een overlap omdat bedrijfsgeheimen ook persoonsgegevens kunnen zijn.

Verantwoordingsplicht effectief beschermen van persoonsgegevens

Een bedrijf loopt aansprakelijkheids- en kostenrisico’s als het niet instaat is te voldoen aan de verantwoordingsplicht. Het gaat niet alleen om boetes of claims van de toezichthouder maar ook van degenen wiens persoonsgegevens worden verwerkt. Bovendien bestaat het risico reputatieschade als zich een datalekken voordoen die niet ontdekt zijn of foutief zijn afgewerkt. Om zich te kunnen verantwoorden is het nodig dat het bedrijf het beschermen van persoonsgegevens effectief heeft georganiseerd.

Het MYOBI Vertrouwensnetwerk biedt bedrijven een praktisch verantwoordingsmechanisme. Hierbij staat centraal het door het bedrijf organiseren van compliance met wettelijke en contractuele verplichtingen, in het bijzonder de TTP-policy en daarmee ook aan de TTP Gedragscode AVG. Jaarlijks spreekt de leiding zich uit in een zelfverklaring over het nakomen van deze gedragscode, uitgedrukt in een volwassenheidsniveau. Het volwassenheidsniveau wordt op de website van MYOBI gepubliceerd.

Het verantwoordingsmechanisme is op de kennisbank uitgelegd. Zie ‘verantwoordingsplicht en verantwoorden. Wij zorgen in opdracht van MYOBI de interne controle van het verantwoordingsmechanisme.

Het belang voor partners verantwoording af te leggen over compliant zijn met de eisen van de AVG en Wbb is duidelijk; het organiseren van de compliance vraagt de nodige aandacht van de bedrijfsleiding, management en medewerkers. Een goed gesprek kan toereikend zijn ongewisheid weg te nemen.

Hoe kunnen wij u helpen?

Neem gerust contact met ons op om uw vraag of behoefte te bespreken.

Een belangrijke voorwaarde om aanspraak te kunnen maken op een inbreuk op een bedrijfsgeheim, is dat het geheim goed beveiligd moet zijn. Een geheim dat niet goed beveiligd is, kan door een rechter worden bestempeld als ‘niet-geheim’ omdat het bedrijf niet de nodige effectieve maatregelen heeft getroffen om het geheim te houden.

Het organiseren van het beschermen van bedrijfsgeheimen is voorwaardelijk om bedrijfsgeheimen effectief te beschermen en – bij inbreuk – recht te halen onder de Wbb. Dit houdt in dat een bedrijf moet bepalen wat haar bedrijfsgeheimen zijn en welke maatregelen getroffen moeten worden om het geheim te beschermen. Vervolgens dient ingeregeld te worden dat aantoonbaar kan worden gemaakt dat de maatregelen effectief hebben gewerkt.

Een belangrijke maatregel is het afsluiten van een geheimhoudingsovereenkomst met partners die toegang tot bedrijfsgeheimen nodig hebben voor het uitvoeren van bijvoorbeeld een (uitbestedings)opdracht. Deze partners dienen zich regelmatig te verantwoorden over het nakomen van de afspraken die in deze overeenkomst zijn gemaakt. Dergelijke verantwoordingen zijn onderdeel van de eigen verantwoording van het bedrijf.

Het komt veelvuldig voor dat partners afspreken zich onderling te verantwoorden over het vertrouwelijk gebruikmaken van elkaars bedrijfsgeheimen.

ZZP’ers

Bedrijven schakelen ZZP’ers in om een tijdelijk capaciteitstekort op te vangen of expertise in te huren die tijdelijk nodig is. Tijdens het uitvoeren van een opdracht komt de ZZP’er in aanraking met persoonsgegevens en bedrijfsgeheimen. Als bedrijf ben je ook verantwoordelijk voor de gedragingen van de ZZP’er in jouw bedrijf en daarom hoort dit onderdeel te zijn van de verantwoording.

Na de selectie van de ZZP’er (met een gedragscode) de contractering (o.a. een geheimhoudingsovereenkomst) kan de verantwoording van de ZZP’er meegenomen worden in de eigen verantwoording.

Het verantwoorden over de compliance met wettelijke (AVG en of Wbb) en contractuele eisen vraagt een doortastende aanpak.

Voor het beschermen van persoonsgegevens beginnen we met het inventariseren van de bedrijfsactiviteiten, de processen die deze activiteiten ondersteunen, de risico’s die voor het bedrijf en/of de betrokkenen zich kunnen voortdoen en het treffen van maatregelen die effectief werken. Zoveel als mogelijk wordt aangesloten op beschikbare (standaard) baselines die aangevuld worden met bedrijfsspecifieke maatregelen. Op basis van de risicoanalyse kan bepaald worden hoe vaak vastgesteld moet worden dat een maatregel effectief werkt. Vervolgens komt het inregelen in de organisatie van verantwoordelijken en uitvoerenden die de effectiviteit van de beheersmaatregelen conform de bepaalde periodiciteit vaststellen.

Voor het beschermen van bedrijfsgeheimen beginnen we met het doorlopen van de bedrijfsactiviteiten en daarbij te inventariseren welke bedrijfsgeheimen er zijn. We kunnen een voorzet maken voor een beleid waarin de bedrijfsleiding handvatten geeft aan medewerkers hoe met bedrijfsgeheimen om te gaan. Na een risicoanalyse worden de maatregelen ingeregeld om de bedrijfsgeheimen te beschermen en periodiek te laten vaststellen of deze maatregelen effectief werken.

ZZP’ers

ZZP’ers die zich registeren op het MYOBI Vertrouwensnetwerk voldoen aan de TTP-policy, in het bijzonder de MYOBI Gedragscode ZZP. Deze gedragscode schrijft voor dat de ZZP’er zich moet verantwoorden over zijn kennis en omgang met persoonsgegevens en bedrijfsgeheimen.

In de contractportfolio en vervolgens in de bedrijfsspecifieke contractbibliotheken bevinden zich overeenkomsten van opdracht en geheimhoudingsovereenkomsten voor het inzetten van een ZZP’er.

Een bedrijf kan praktisch gebruik maken van het verantwoordingsmechanisme ZZP’er.

Heeft u vragen of behoefte aan een afspraak?

Neem gerust contact met ons op via +31 (0) 70 392 22 09 of info@duthler.nl. Maak een afspraak met Caroline Willemse RA RE RFG, de service-eigenaar compliance, of een professional van haar team.