Yourhosting - 05 december 2017

Vier vragen over de GDPR die je IT-dienstverlener moet kunnen beantwoorden

Eind mei 2018 krijgen bedrijven te maken met de nieuwe, strengere wet- en regelgeving rond dataprivacy en beveiliging (de GDPR). Organisaties die data van Europese burgers beheren en verwerken moeten druk aan de slag, want over een aantal maanden worden er hoge boetes geriskeerd. Welke vragen moet je IT-dienstverlener kunnen beantwoorden als je je volledige IT-omgeving hebt uitbesteed?

Als je je IT-omgeving hebt uitbesteed aan een derde partij, hoef je je minder met de technische implicaties van de GDPR te bemoeien. Je blijft echter wel eindverantwoordelijk. Om er zeker van te zijn dat jouw bedrijf straks niet de dupe is van slechte datahuishouding bij een derde partij moet je in gesprek met je hostingpartij. Want als je straks je zaken niet op orde hebt, kunnen boetes fors oplopen.

1) Is de documentatie van processen en dataverwerking conform de GDPR-regels?

Organisaties hebben een documentatieplicht onder de GDPR. Dit houdt in dat zij met documenten moeten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de GDPR te voldoen. Denk daarbij aan zaken als toestemming krijgen voor verwerking en bewerking, de maatregelen op het gebied van beveiliging, de informatieverstrekking en de afspraken die er zijn met bewerkers. Het uitbesteden van je IT-omgeving ontslaat bedrijven niet van zo’n documentatieplicht. Maak hier dus afspraken over.

2) Zijn bewerkersovereenkomsten volgens de regels van de GDPR opgesteld?

Wanneer een bedrijf persoonsgegevens laat bewaren en verwerken door een externe partij moet er een bewerkersovereenkomst door beide partijen getekend zijn. Een bewerkersovereenkomst bevat alle rechten en plichten van de cloudprovider en de opdrachtgever en geeft zo inzicht in de onderlinge afspraken. Onder de GDPR zijn de eisen die gesteld worden aan de bewerkersovereenkomst aangescherpt zijn er een aantal extra onderwerpen opgenomen. Zo mag ‘de bewerker’ bijvoorbeeld niet zonder toestemming een externe subbewerker inschakelen om persoonsgegevens te verwerken. Ook de naam van de bewerkersovereenkomst verdwijnt. De GDPR heeft het over ‘verwerkersovereenkomsten’.

3) Is er een plek waar je terecht kunt met vragen over privacy en security?

De GDPR geeft burgers allerlei nieuwe rechten, zoals het recht op inzage, het recht op rectificatie, het recht om vergeten te worden en het recht op dataportabiliteit. Bedrijven zijn ervoor verantwoordelijk dat al deze rechten gewaarborgd zijn. In de praktijk betekent dat dat je nauw moet kunnen samenwerken met je IT-dienstverlener. Als een klant bijvoorbeeld verzoekt dat al zijn persoonsgegevens worden verwijderd, moet dat binnen afzienbare tijd door je IT-dienstverlener geregeld kunnen worden. Op z’n minst is het dan goed om een duidelijke plek te hebben waar je vragen kan stellen, zodat verzoeken snel kunnen worden afgehandeld.

4) Hoe zit het met de technische maatregelen die genomen zijn tegen hacks en cyberaanvallen?

De GDPR stelt strengere eisen aan de technische beveiliging van privacygevoelige gegevens dan onder de Wet bescherming persoonsgegevens het geval was. Bedrijven die applicaties of diensten ontwikkelen die persoonsgegevens verwerken moeten volgens de GDPR de principes Privacy by Design en Privacy by Default in acht nemen. Privacy by design houdt in dat een organisatie al bij de start van een ontwikkeling rekening houdt met privacyverhogende maatregelen. Daarnaast moet de toegang tot de persoonsdata beperkt zijn tot de strikt noodzakelijke personen. Voldoet jouw partner aan deze eisen?

Datasecurity is niet alleen een technische exercitie, maar een samenspel tussen de eigen organisatie en de IT-dienstverlener. Een relatie met je hostingleverancier is daarom geen klant/leveranciersverhouding, maar een partnership. Alleen door transparant en open met elkaar te schakelen, kom je tot een effectieve databeveiliging, en voorkom je het risico op enorme boetes!

*Dit artikel is te kort om in detail te treden over de GDPR. Als je meer wil weten over GDPR en IT dienstverlening, lees dan deze whitepaper!

Dit artikel delen op social media

Er zijn nog geen reacties op dit artikel.

Reageer op deze post

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *