Click here for English version
De impact van de Algemene Verordening Gegevensbescherming is eerder al beschreven door mijn collega Jos Doensen; de noodzaak van het evalueren van de consequenties ervan zijn door Jos uitvoerig toegelicht. Deze aanvullende blog diept een aantal aandachtspunten voor de contractmanager (maar ook de inkoper) uit.
Aan te stippen is dat het niet alleen betrekking heeft op contracten die de verwerking van klantgegevens behelzen, maar ook van werknemers en derden (denk aan leveranciers) waarvan gegevens geregistreerd worden. Hierbij worden specifieke gegevens als “gevoelig” bestempeld. Denk hierbij aan gegevens rondom geaardheid, geloofsovertuiging en speciaal aan gegevens die verzameld zijn van personen onder de 16 jaar. Aan deze gegevens worden speciale eisen gesteld inzake bewaartermijnen en mate van beveiliging. Draag er dan ook zorg voor dat binnen de AVG-implementatie in uw organisatie er voor dit type gegevens extra aandacht is.
Als contractmanager ben je ook commercieel verantwoordelijk voor alles wat er rondom je contracten speelt; welke commerciële gevolgen heeft de AVG/GDPR-wetgeving mogelijk voor contracten binnen het IT-domein? Er zijn verschillende cost drivers die voorkomen uit de AVG-wetgeving. De meest voor de hand liggende:
Het is aan het bedrijfsbeleid omtrent de AVG-wetgeving van uw eigen organisatie hoe om te gaan met deze kosten; accepteren we deze als extra kosten, of leggen we deze (deels) bij de leverancier? Veelal staat opgenomen in de Algemene Inkoopvoorwaarden dat de leverancier gedurende de lopende contractperiode dient te voldoen aan de vigerende wetgeving – voor de hand liggend is dan ook dat de leverancier opdraait voor de te maken kosten.
Hiernaast geldt ook dat de leverancier deze kosten over hun gehele klantenbasis kunnen verdisconteren; let dan ook goed op dat het aandeel dat u als klant gevraagd wordt te betalen realistisch is ten opzichte van het aandeel in de omzet van uw leverancier.
Veel (meestal grote) organisaties sturen hun leveranciers een model-verwerkersovereenkomst op ter ondertekening voor akkoord, als een take-it-or-leave-it deal. Hierin opgenomen staan de voorwaarden die de organisatie stelt aan de verwerking van persoonsgegevens door haar leveranciers, inclusief eventuele mitigerende maatregelen die een leverancier dient te treffen. Ook het doorschuiven van eventuele boetes die opgelegd worden als gevolg van het niet voldoen aan de wetgeving, maakt veelal als standaard clausule deel uit van deze overeenkomst.
Eén van de interessante aspecten aan een dergelijke standaard overeenkomst is dat veel organisaties voor hun leveranciers hierin reeds opnemen hoe zij aan de wetgeving moeten gaan voldoen. Aan de ene kant zeer begrijpelijk gezien de mogelijke consequenties bij non-compliance, maar gaat de vragende organisatie hierbij niet op de stoel zitten van de leverancier? In deze tijd van functioneel specificeren en Best Value Procurement eigenlijk een vreemde houding; de leverancier is niet voor niets de verwerkende partij geworden in het verleden, en zou deze verwerkingsstroom, de risico’s en de mitigerende maatregelen beter moeten kunnen overzien dan de vragende partij. Suggestie is dan ook om wel voor te schrijven wat een leverancier aan risico’s moet mitigeren, maar niet hoe – laat dit aan de leverancier over.
De ervaring van onze consultants heeft uitgewezen dat het, zeker in grotere organisaties, een hele klus is om zeker te weten dat alle benodigde verwerkersovereenkomsten gesloten zijn. Uit deze ervaring bieden wij u hier aantal punten van aandacht aan, die helpen om in ieder geval alle inspanning te structureren, en zo optimaal om te gaan met de inspanningen van de organisatie rondom de AVG/GDPR-wetgeving.
Als bijvangst heeft de contractmanager met dit traject een mooie mogelijkheid een hernieuwd inzicht op te doen over het applicatielandschap.