Mijn tips bij het risico privacy-aansprakelijkheid | Blog
30 mei 2018
Dinsdag 15 mei was het zover. Als Zicht hebben we een webinar georganiseerd en ik, Remco Louwrink, mocht hierbij spreker zijn. Samen met klant Arnout de Jager van KNS Automatisering hebben we de kijkers vanuit adviseurs- en klantperspectief meer verteld over ‘AVG en privacy-aansprakelijkheid in de ICT-branche’. Het was spannend, maar gaf ook zeker een kick.
Tijdens het webinar hebben we uitgebreid stil gestaan bij de verschillende aansprakelijkheidsrisico’s die ondernemers lopen. We hebben voorbeelden gegeven die specifiek voor ICT-bedrijven gelden, maar zeker ook herkenbaar zijn voor andere bedrijven in andere branches.
Door:
Remco Louwrink
manager zakelijk advies
Belangrijkste risico’s
We hebben onze kijkers gevraagd wat zij het belangrijkste risico vinden als het gaat om privacy-aansprakelijkheid. De risico’s data-en cybercrime en bedrijfsaansprakelijkheid scoren het hoogst. Terwijl dit onderwerp zeer direct te maken heeft met beroepsaansprakelijkheid. Daarnaast is het opvallend dat het risico van opzicht (goederen van derden in behandeling van het bedrijf) niet als een belangrijk risico wordt herkend.
Ik kom dit natuurlijk vaker tegen tijdens mijn dagelijkse werk. Daarom heb ik een tip voor je.
Tip 1
Data- en cybercriminaliteit komt steeds vaker voor. Vaak krijgt de ICT-ondernemer hiervan de schuld. Want ‘die heeft waarschijnlijk geen goede firewall geïnstalleerd of zo’. Breng daarom bij je eigen klanten onder de aandacht dat je bij schade door een datalek of cybercrime in de meeste gevallen niet verantwoordelijk bent.
Contractuele aansprakelijkheid
Contractuele aansprakelijkheid is een veel voorkomend risico in de ICT-branche. We hebben daarom de vraag gesteld of kijkers dit risico in de leveringsvoorwaarden hebben beperkt. Bijna 45% geeft aan dat hij deze niet beperkt heeft of het niet te weten. Dit kan een risico voor de bedrijfscontinuïteit zijn.
Tip 2
Mijn tip hierbij is: hanteer goede leveringsvoorwaarden! Een aansprakelijkheidsclaim na een
beroepsfout kan enorm oplopen. Het is daarom belangrijk om in je leveringsvoorwaarden op te
nemen dat je contractuele aansprakelijkheid beperkt is tot een aantal maal het bedrag van de
waarde van de opdracht. Maar houd hierbij ook het belang van de relatie in je achterhoofd.
Tip 3
Ook is het verstandig om te controleren of je beroepsaansprakelijkheidsverzekering aansluit op je algemene voorwaarden. Het kan zijn dat in de polis van je verzekering is opgenomen dat je een
bepaalde set voorwaarden moet hanteren. Zorg er dan voor dat je maatregelen treft zodat er daadwerkelijk dekking wordt verleend bij een claim.
Meer tips?
Ik heb je nu drie tips gegeven. Maar ik heb er nog meer!
Na afloop van het webinar heeft 55% van de kijkers aangegeven dat na het bekijken beseffen dat ze nog flink aan de slag moeten om de juiste maatregelen te treffen op het gebied van AVG en privacy-aansprakelijkheid. Ook vond bijna 90% van de kijkers de aanvullingen van ICT-ondernemer Arnout van toegevoegde waarde.
Is een functionaris voor de gegevensbescherming (FG) echt nodig?
Voor sommige organisaties is het verplicht een FG aan te stellen. Voor de grote meerderheid is dat niet het geval. Maar het is voor iedere organisatie verstandig een FG aan te stellen. Een FG neemt u namelijk veel werk uit handen; zorgt voor structurele assessments en rapportages, is het aanspreekpunt voor AVG-kwesties én is de schakel met de Autoriteit Persoonsgegevens. Maar het belangrijkste voordeel is dat u richting uw klanten het signaal geeft dat u hun privacy hoog in het vaandel heeft staan.
Is het voldoende als ik overal toestemming voor vraag?
Met alleen toestemming vragen voldoet u nog niet aan alle AVG-verplichtingen. Daarnaast is bewustwording bij werknemers van groot belang. Zij werken tenslotte met de gegevens. In de inrichting van uw processen kunt u hier veel ondervangen. Vanuit de wet wordt het zogenaamde Privacy By Design dan ook aangeraden. Hiermee kunt u bij de implementatie rekening houden.
Is het uitvoeren van DPIA verplicht?
Een DPIA (Data Protection Impact Assessment of Gegevensbeschermingseffectbeoordeling) is verplicht onder bepaalde voorwaarden. Niet altijd dus. Een functionaris voor de gegevensbescherming kan u advies geven of het voor uw bedrijf noodzakelijk is.
Ben ik verantwoordelijk voor data die ik van iemand anders krijg?
U mag volgens de wet alleen maar samenwerken met partijen die voldoen aan de AVG-wetgeving. Hierbij geldt een ketenverantwoordelijkheid. Verwerkt uw bedrijf data van andere partijen? Dan moet u ook voldoen aan de wetgeving en dus compliant zijn.
Kan ik iemand uit mijn organisatie aanstellen als FG?
Als u een werknemer aanstelt als functionaris voor de gegevensbescherming, moet u er rekening mee houden dat deze persoon onafhankelijk is en blijft. Deze persoon mag dus niet zijn eigen werk beoordelen. Daarnaast krijgt de FG dezelfde ontslagbescherming als leden van de ondernemingsraad. De FG krijgt dus een aparte positie in uw organisatie.
Is de FG verantwoordelijk voor alles rondom privacy?
De AVG gaat over de verwerking van persoonsgegevens. Het gaat dus niet om àlles rondom privacy. De FG verzorgt assessments, rapportages en geeft adviezen over de inrichting van de processen en de verwerking van gegevens. Maar hij is raadgever. Uw bedrijf blijft dus altijd verantwoordelijk en aansprakelijk voor hoe gegevens verwerkt worden.
Wat wordt er bedoeld met persoonsgegevens?
Als er gesproken wordt over persoonsgegevens, dan gaat het om alle informatie die kunnen herleiden naar een persoon. Het gaat dus ook om gegevens die in de context terug te leiden zijn naar een persoon. Denk hierbij aan BSN-nummer, rijbewijsnummer, bankrekeninggegevens, gebruikersnamen en wachtwoorden van online accounts, medische gegevens en zorgverzekeringsinformatie.
Moet ik een register van verwerkingen bijhouden?
Niet ieder bedrijf hoeft een register van verwerkingen bij te houden. Maar het kan wel heel gemakkelijk zijn als de Autoriteit Persoonsgegevens of klanten om inzage vragen. Dat scheelt u veel werk én u laat zien dat u de AVG zeer serieus neemt.
