Hoe gaan uw leveranciers om met uw data?

Nederlandse vs niet-Nederlandse server

Alle webplatformen die wij (veelal dagelijks) gebruiken zoals Hotmail, Dropbox en Facebook, maar ook websites zoals Zalando, Bol.com en chatapplicaties als WhatsApp en Skype werken allemaal vanaf één of meerdere servers. Even voor het gemak; een server is een grote computer die gemaakt is voor dataverwerking en opslag, en vaak door duizenden clients (bezoekers) gebruikt kan worden. In Nederland zijn een aantal grote servercentra gelokaliseerd, in bijv. Amsterdam, maar ook op een aantal andere knooppunten door het land heen. De bedrijven die de programma's ontwikkelen die u gebruikt maken de keuze om hun zaken in één of meerdere servercentra onder te brengen. Als organisatie kunt u meer grip krijgen op uw privacy en dataverwerking als u hier wat meer over weet, bijvoorbeeld of uw gegevens wel in Nederland/Europa staan, en of het bedrijf dat het programma ontwikkeld niet onderhevig is aan de Patriot Act. 

USA Patriot Act

Amerikaanse bedrijven of bedrijven die voor een deel Amerikaans zijn (zeker bedrijven zoals Facebook en Dropbox) vallen onder de Patriot Act. Deze wetgeving is bedacht om bij bedreiging van de Amerikaanse nationale veiligheid meer informatie te verkrijgen vanuit Amerikaanse bedrijven, die verplicht zijn om dit af te geven. Dit betekent in praktijk dat de Amerikaanse inlichtingsdiensten zoals de welbekende NSA uit naam van de Amerikaanse vlag bestanden kan opvragen bij bedrijven die Amerikaans zijn, zoals een softwareontwikkelaar of een Amerikaanse hostingspartij. Wanneer u als organisatie privacy belangrijk vindt dan kunt u het beste ervoor kiezen om uw gegevens niet onder te brengen bij Amerikaanse bedrijven of bedrijven die gebruik maken van Amerikaanse hostingbedrijven. Hoe kunt u achterhalen of een bedrijf Amerikaans is en of uw gegevens gebruikt worden voor andere doeleinden dan u wilt?

Privacy statement en verwerkersovereenkomst

Als organisatie kunt u achterhalen of uw leverancier uw privacy en uw veilig belangrijk vindt door een privacy statement en een verwerkingsovereenkomst op te vragen. In een privacy statement staat precies welke gegevens de betreffende organisatie van u opslaat, waarom, hoelang, en hoe u uw recht van inzage en recht van vergetelheid kunt uitoefenen. Bij het recht van inzage is uw leverancier verplicht om op uw verzoek al uw bij hun bekende gegevens in een uitdraai aan te leveren. Bij recht van vergetelheid dient een leverancier (dus de verwerker) op uw verzoek alle van u bekende gegevens bij hen te verwijderen. Door deze zaken van te voren helder te hebben beperkt u uw risico, en kunt u bij controle aangeven dat u deze zaken met uw leverancier hebt afgedekt.

Een ander belangrijk document is de verwerkersovereenkomst. Deze is niet gericht aan een gebruiker maar aan u als klant (Verwerkingsverantwoordelijke van de data) in relatie tot uw leverancier (Verwerker van de data). In dit contract staat tot in redelijk detail gespecificeerd welke persoonsgegevens van uw klanten opgeslagen worden, hoelang deze bewaard worden (en dus ook hoe en wanneer ze vernietigd worden), met welke redenen diverse data wordt opgeslagen, welke technische en organisatorische maatregelen genomen zijn om de data te beschermen en last but not least: wat de procedure is bij een datalek. Ook staat in dit document wie de gegevensfunctionaris is, uw contactpersoon bij de Verwerker m.b.t. AVG-gerelateerde vraagstukken. Door deze documenten goed in te richten met uw leveranciers heeft u de privacy en veiligheid van uw bedrijf, uw medewerkers en uw relaties al voor een groot deel voor elkaar.