Privégegevens delen met medeverantwoordelijken vergt eigen onderzoek en goede afspraken

Door: Caroline Willemse

Inmiddels weten organisaties dat ze – alvorens een verwerker in te schakelen – zich ervan moeten overtuigen dat de verwerker goede maatregelen heeft getroffen om de persoonsgegevens te beschermen. En dat hierover duidelijke afspraken gemaakt moeten worden en vastgelegd worden in een verwerkersovereenkomst.

Ketenaansprakelijkheid

Helaas wordt het als minder vanzelfsprekend gevonden als een organisatie een andere verwerkingsverantwoordelijke inschakelt om dan ook die partij kritische vragen te stellen en de afspraken vast te leggen. Toch zie je in de praktijk dat hier te makkelijk mee omgegaan wordt. Het is toch de verantwoordelijkheid van die andere partij? Het kan wel rechtmatig zijn dat de gegevens met die andere verantwoordelijke worden gedeeld, maar is het ook behoorlijk wat je doet? Eigen onderzoek naar die andere verwerkingsverantwoordelijke is daarom nodig alvorens je persoonsgegevens deelt. Je moet vaststellen dat de andere verantwoordelijke de bescherming van persoonsgegevens goed georganiseerd heeft en dit ook kan aantonen. En een ISO-certificaat kan onvoldoende zijn om dit aan te tonen.

Afspraken maken

Nadat je als organisatie overtuigd bent dat je met een goede partij gegevens gaat uitwisselen, is het afsluiten van een gegevensuitwisselingsovereenkomst aan te raden. In een dergelijke overeenkomst maak je duidelijke afspraken over welke gegevens uitgewisseld worden, de beveiliging van het transport van de gegevens, het doel van de uitwisseling en de beveiliging van de gegevens door die andere verantwoordelijke. En check regelmatig of die derde partij zich nog steeds houdt aan de afspraken.

Meer informatie

Heeft u vragen naar aanleiding van de blog? Neem gerust contact met ons op via +31 (70) 392 22 09 of info@duthler.nl.

Bron Nieuwsuur: Inzage in gegevens van tienduizenden geteste Nederlanders, van model tot militair 



Geef een antwoord