12 september 2017

AVG: Wat betekent de nieuwe privacywet voor de zakelijke markt?

Inlogscherm met slotje

De nieuwe Europese privacywet treedt eind mei 2018 in werking en heeft naast de B2C-markt, ook betrekking op de B2B-markt. Op B2B-gebied veranderen er wat belangrijke aspecten, bijvoorbeeld op het gebied van verwerkersovereenkomsten. In dit artikel zetten we uiteen wat een verwerkersovereenkomst inhoudt, wat er met de nieuwe privacywet verandert en wat webwinkels moeten doen.

Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst is een overeenkomst tussen een verwerkingsverantwoordelijke (de opdrachtgever, zoals een webwinkel) en een partij die voor hem gegevens gaat verwerken (zoals een payment service provider (PSP) of een hostingbedrijf dat de website beheert). Hierin maken zij bepaalde afspraken over de verwerking van persoonsgegevens. Onder de verwerking van persoonsgegevens verstaan we hierbij het verzamelen, vastleggen, bijwerken, wijzigen, verspreiden en gebruiken van alle gegevens die informatie kunnen verschaffen over de identiteit van een natuurlijke persoon.

Het sluiten van dergelijke verwerkingsovereenkomsten tussen een verwerkingsverantwoordelijke en een derde partij (de gegevensverwerker) is wettelijk verplicht op grond van de huidige Wet bescherming persoonsgegevens (Wbp). Ook onder de nieuwe Europese privacywet (de Algemene verordening gegevensbescherming, AVG), die de Wbp in mei 2018 vervangt, is het sluiten van de verwerkersovereenkomst verplicht. De AVG stelt hieraan echter een aantal nieuwe eisen.

Wat verandert er onder de AVG?

Allereerst moet een verwerkingsverantwoordelijke er straks zeker van zijn dat de externe gegevensverwerker voldoet aan een bepaalde mate van deskundigheid en betrouwbaarheid en dat deze de juiste maatregelen heeft genomen om gegevens te beveiligen en te beschermen volgens de verplichtingen van de AVG. Daarnaast mag de verwerker geen subverwerker (of ‘onderverwerker’) in dienst nemen zonder dat de verwerkingsverantwoordelijke hier vooraf toestemming voor heeft gegeven.

Bij het opstellen van een verwerkersovereenkomst worden de taken en verantwoordelijkheden van de verwerker vastgelegd en wordt er rekening gehouden met de risico’s van de verwerking voor de privacy van de consument. Volgens de AVG moeten in de overeenkomst verplicht afspraken worden gemaakt over de doelen waarvoor de gegevens worden verwerkt, op welke manier dit (technisch en organisatorisch) gebeurt en welke beveiligingsmaatregelen hierbij worden genomen.

Wat moet ik als webwinkelier doen?

Binnen (e-commerce)-organisaties worden al snel persoonsgegevens verwerkt door externe partijen. Dit is bijvoorbeeld het geval als een verwerkingsverantwoordelijke een PSP inschakelt om betalingen te verwerken, als een hostingbedrijf de website van een organisatie beheert of als het geven van reviews mogelijk wordt gemaakt door een andere organisatie. Ook een kantoor dat de salarisadministratie voor een onderneming voert, verwerkt hiervoor persoonsgegevens. Het is dus belangrijk dat je nagaat of jouw organisatie met externe verwerkers samenwerkt en of hiermee al een overeenkomst is gesloten. Daarnaast is het een goed idee om na te gaan of bestaande overeenkomsten al voldoen aan de (nieuwe) eisen van de AVG. Mocht dit niet het geval zijn, dan moet er een nieuwe overeenkomst met de verwerker worden gesloten.

De Thuiswinkel Privacytool helpt je verder

De Thuiswinkel Privacytool geeft leden van Thuiswinkel.org straks de mogelijkheid om een verwerkersovereenkomst te genereren, specifiek voor de situatie tussen jou en de verwerker. Deze privacytool wordt op 21 september tijdens Shopping Today gepresenteerd en de week erna waarschijnlijk gelanceerd.

Meer weten over verwerkingsovereenkomsten?

Vincent Romviel Wil je meer informatie over verwerkingsovereenkomsten, de Thuiswinkel Privacytool of de nieuwe privacywet in het algemeen? Neem dan contact op met Vincent Romviel, jurist bij Thuiswinkel.org ().