Werkt uw bedrijf met persoonsgegevens? Bijvoorbeeld voor het versturen van een mailing? Dan verplicht de Wet bescherming persoonsgegevens (Wbp) u deze gegevens te beveiligen. Schakelt u een externe partij in voor het verzorgen van die mailing, dan moet ook hun werkwijze – en de manier van gegevensoverdracht – aan bepaalde standaarden voldoen. Wat daar allemaal bij komt kijken, bleek een leerzaam proces dat ook voor u interessant is.
Al in 2013 maakten wij als, Platform P, de eerste afspraken met klanten over de beveiliging van data. Begin 2015 kreeg dit een nieuwe impuls toen Sharon Karsten van onze klant het Nederlands Compliance Instituut ons wees op de Wet Meldplicht Datalekken waarmee de Wet bescherming persoonsgegevens per 1 januari 2016 zou worden uitgebreid.
Sharon: “Het Nederlands Compliance Instituut leidt compliance professionals op voor de financiële- en zorgsector, doet aan werving en selectie en adviseert organisaties over compliance en integriteit. De aard van ons werk verplicht ons voorop te lopen als het gaat om dataveiligheid. Daarom namen we begin 2015 contact op met Platform P. Zij verzorgen al ons drukwerk, waaronder gepersonaliseerde mailings. Die gegevens hebben wij intern goed beveiligd, maar wat gebeurt er als we ze aanleveren aan Platform P? Om ook dat traject te borgen stelden wij een zogeheten ‘bewerkersovereenkomst’ op. Daarin leg je vast hoe met de persoonsgegevens moet worden omgegaan.”
Een standaard bewerkersovereenkomst werkt niet
“Ons voorstel was een standaardovereenkomst die we voor al onze leveranciers wilden laten gelden. Maar het goede van Platform P was dat ze ons document heel grondig doornamen en daarbij onwenselijke en conflicterende zaken boven water haalden. De standaardovereenkomst stelt bijvoorbeeld dat de gebruikte persoonsgegevens na 24 uur moeten worden vernietigd. Maar dat zou het onmogelijk maken om te voldoen aan het reclamerecht van 14 dagen.”
Raymond van Lint van Platform P: “Wij hebben diverse overheidsinstanties benaderd met de vraag hoe met dit soort tegenstrijdigheden om te gaan. Niemand kon daar antwoord op geven. Daarop zijn we, in dialoog met het Nederlands Compliance Instituut, onze eigen bewerkersovereenkomst gaan uitdenken. Je doet dan allerlei ontdekkingen. Bijvoorbeeld dat van sommige, bekende software pakketten de wachtwoorden veel makkelijker te kraken zijn dan van dan andere. Maar ook dat je eigenlijk niet met WeTransfer kan werken omdat hun server in het buitenland staat. Nadat wij met het Nederlands Compliance Instituut en andere klanten een evenwichtige overeenkomst hadden gerealiseerd, hebben wij ook onze bestaande overeenkomsten met onze leveranciers hierop aangepast zodat ook zij veilig blijven werken met de bestanden van onze klanten. Inmiddels hebben we met 25 leveranciers een op maat gemaakte bewerkersovereenkomst.”
Maatwerk maakt het veilig én werkbaar
Sharon: “Achteraf bleek het borgen van de hele keten veel meer werk dan we aanvankelijk dachten. Maar dankzij de goede onderlinge samenwerking hebben nu we wel een oplossing die recht doet aan de beveiligingsnoodzaak en tegelijk werkbaar en commercieel verantwoord is.”
Raymond: “Het was inderdaad een berenklus. Maar het voordeel is wel dat nu ook onze nieuwe klanten profiteren van de reeds beveiligde keten en dat we de kennis hebben om hen te helpen bij het beveiligen van hun deel van de keten. We zijn dan ook heel blij dat het Nederlands Compliance Instituut dit uitgebreide traject met ons wilde doorlopen.”
Heeft u vragen of wilt u ook een overeenkomst afsluiten met ons, neem dan hier contact met ons op.
