GDPR: overleg met ketenpartners over data-uitwisseling

Werken met persoonsgegevens brengt onderlinge verantwoordelijkheden met zich mee voor iedere schakel in de keten. De nieuwe privacywetgeving (GDPR/AVG) verplicht samenwerkende partijen dan ook om waterdichte afspraken te maken over de verwerking van persoonsgegevens.

Documentatieplicht

Wat vooral nieuw is aan de GDPR, is dat je als organisatie aantoonbaar in control moet zijn. Je hebt documentatieplicht. Dat gaat best ver: voor het verwerken van bepaalde persoonsgegevens moet je bijvoorbeeld kunnen aantonen dat de klant die toestemming expliciet heeft gegeven. En als die klant zich later uitschrijft, moet je kunnen bewijzen dat je zijn persoonsgegevens hebt vernietigd en wanneer.

Risico’s bij ketenpartners

Een groot risico ontstaat wanneer ketenpartners verschillende of afwijkende ideeën hebben over het belang van hun plek in de keten. Een cyberincident bij de zwakste schakel in de keten kan grote gevolgen hebben voor de andere ketenpartijen. Het is dus verstandig om binnen de keten samen de scenario’s van een mogelijk cyberincident in kaart brengen. En om duidelijke afspraken te maken over de onderlinge eisen ten aanzien van cyberweerbaarheid. Leg met je ketenpartners vast welke privacygevoelige data je uitwisselt, hoe je samen de veiligheid van die data regelt en wie een onverhoopt datalek meldt bij de autoriteiten en betrokkenen. Wil je als organisatie écht in control zijn als het gaat om de GDPR? Dan moet je in gesprek gaan met ketenpartners.

Heeft u vragen over de implementatie van informatiebeveiliging in de keten van uw organisatie - vanaf toeleveranciers tot aan afnemers? Neem dan gerust vrijblijvend contact met mij op!

Meer informatie over onze aanpak rondom implementatie en borging van de GDPR vindt u op www.bdo.nl/gdpr. Door het invullen van een korte checklist kunt u hier ook nagaan hoever uw organisatie is.

Meer over GDPRTags: