AVG in de consultancy

Algemene Verordening Gegevensbescherming (AVG), je hebt het waarschijnlijk al 300 keer voorbij zien komen. Maar wat het precies betekent, is voor velen nog onduidelijk. Sommige bedrijven besluiten voor alle klanten overeenkomsten op te stellen, terwijl andere bedrijven, wellicht gedreven door onbegrip, er helemaal niets mee doen.

Ik, Karina Chaibekava, ben binnen Tripolis Business Support benoemt tot Functionaris van de gegevensbescherming. Dat betekent dat ik verantwoordelijk ben voor het juist uitvoeren van de AVG binnen ons bedrijf. Na het grondig doornemen van de wet AVG en de website van de autoriteit persoonsgegevens heb ik voor ons een plan van aanpak opgesteld. Mijn conclusie: voor alle cliënten overeenkomsten opstellen is onnodig, maar niets met de AVG doen, is ook fout.

Om persoonsgegevens te mogen verwerken, moet je binnen de AVG voldoen aan één van de 6 wettelijke grondslagen. Deze zijn als volgt:
1. Toestemming van de betrokken persoon;
2. gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst;
3. gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting;
4. gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen;
5. gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag; of
6. gegevensverwerking is noodzakelijk voor de behartiging van noodzakelijke belangen.

Als advieskantoor sluiten wij altijd een overeenkomst met onze cliënten in de vorm van een opdrachtbevestiging. In deze opdrachtbevestiging nemen wij op welk werk wij voor de cliënt zullen verrichten. Wanneer wij gegevens van onze cliënten verwerken, is dit altijd noodzakelijk om het werk, dat wij met de cliënt afgesproken hebben te doen, op een juiste manier uit te voeren. Hierdoor kun je in de consultancy jouw gegevensverwerking baseren op de tweede grondslag. Hierdoor is een aparte toestemming van de betrokken persoon niet nodig, waardoor het laten ondertekenen van een AVG-overeenkomst door de cliënt onnodig is.

Let op: in de consultancy heb je wellicht wel te maken met het uitbesteden van gegevensverwerking. Dit is bijvoorbeeld het geval wanneer je freelancers inschakelt voor hun expertise, of gegevens laat verwerken bij een notaris. Zodra de verwerking uitbesteedt wordt, moeten er afspraken gemaakt worden over de verwerking. Dit dient schriftelijk te gebeuren, d.m.v. een brief of via de e-mail. Je hebt het dan over een verwerkersovereenkomst. Met een verwerkersovereenkomst sluit je uit dat de derde partij de persoonsgegevens voor eigen doelen mag verwerken.

Vooralsnog lijken de bovenstaande handelingen voor de consultancy voldoende. De verschillen tussen overeenkomsten en de rolverdeling hierin (verwerker of verwerkersverantwoordelijke) kan nogal verwarrend zijn. Ik hoop dan ook dat in de toekomst de AVG nog meer geconcretiseerd kan worden, zodat iedereen weet wat zijn rol hierin is en wat van hem / haar hierin verwacht wordt.

Geef een reactie

(veiligheidstest) *