De digitale consument heeft niet alleen te maken met een webshop. Een webshop wordt vaak ontwikkeld door een webdeveloper, gehost bij een hostingprovider, en uiteindelijk staan de gegevens op een server bij een datacenter. Plaats je een bestelling? Dan gaan er gegevens naar een betalingsdienstverlener. Ben je alleen aan het zoeken naar die ene perfecte trui? Grote kans dat marketingbedrijven cookies plaatsen op jouw device om gepersonaliseerde advertenties te kunnen tonen. Het is natuurlijk van belang dat persoonsgegevens worden beschermd in die hele keten. Hoe werkt dat in de praktijk?
De Algemene verordening gegevensbescherming (AVG)
Voor elke organisatie die persoonsgegevens verwerkt, is de AVG van toepassing. De AVG bevat een aantal verplichtingen voor ‘verwerkingsverantwoordelijken’ en voor ‘verwerkers’. Verwerkingsverantwoordelijken bepalen wat er met persoonsgegevens van personen gebeurt en hoe dat gebeurt, bijvoorbeeld een webshop. Verwerkers verwerken persoonsgegevens ten behoeve van verwerkingsverantwoordelijken, bijvoorbeeld de hostingprovider van de webshop. Beide rollen hebben eigen verplichtingen. De verwerkingsverantwoordelijke informeert personen bijvoorbeeld over hoe persoonsgegevens worden verwerkt, houdt intern een verwerkingsregister bij en moet datalekken melden bij de Autoriteit Persoonsgegevens. Voor verwerkers is het bijvoorbeeld belangrijk dat ze persoonsgegevens niet voor eigen doelen mogen gebruiken en datalekken op tijd melden bij de verwerkingsverantwoordelijke. Hetzelfde geldt voor subverwerkers, dat zijn verwerkers die door verwerkers worden ingeschakeld. Alle rollen zijn verantwoordelijk voor passende beveiliging en het sluiten van (sub)verwerkersovereenkomsten met elkaar.
Privacy Verified
De AVG bevat dus een hoop verplichtingen. Hoe tonen organisaties aan dat zij de privacy van hun eindgebruikers waarborgen in lijn met al die verplichtingen? Certificering biedt de oplossing: het onafhankelijke certificeringsprogramma van Privacy Verified voorziet in de behoefte van de online sector om aan te tonen dat de privacy van de eindgebruiker in de hele keten worden geborgd. Privacy Verified richt zich op de gehele (online) ICT-keten, van datacenter tot webdeveloper. Zo kan de eindgebruiker kiezen voor een netwerk van betrouwbare webshops, SaaS-leveranciers, hostingproviders en datacenters.
Hoe werkt dat dan precies? De privacyexperts van Privacy Verified inventariseren wat jouw organisatie al heeft gedaan op privacyvlak: welke persoonsgegevens worden er verwerkt, en waarom? Zijn al die gegevens nodig of kan het efficiënter? Daarbij wordt de hele keten bekeken, namelijk welke partijen zijn ingeschakeld en welke afspraken er zijn gemaakt. Wat is hun rol en in hoeverre wordt er aan de AVG voldaan bij het inschakelen van deze partijen? Privacy Verified kijkt niet alleen naar de partij die het certificeringstraject ingaat, ook de keten wordt meegenomen.
Vervolgens is er werk aan de winkel: aan de hand van een actielijst wordt een concrete slag richting AVG-compliance gemaakt. Als alle actiepunten zijn doorgevoerd, volgt een laatste controle. Zodra alle acties goed zijn uitgevoerd, volgt het Privacy Verified-certificaat! Het certificaat mag direct op de website geplaatst worden: zo zien klanten meteen dat jouw organisatie privacy hoog in het vaandel heeft staan.
Privacy is een doorlopend proces
Organisaties die het Privacy Verified-certificaat hebben ontvangen, zijn niet ‘klaar’ met privacy. Privacy is namelijk een doorlopend proces. Wordt een nieuwe leverancier ingeschakeld die persoonsgegevens gaat verwerken? Sluit dan een verwerkersovereenkomst. Wordt er een nieuwe dienst aangeboden waarbij persoonsgegevens worden verwerkt? Zorg ervoor dat dit in het verwerkingsregister en in de privacyverklaring komt te staan. Het Privacy Verified-certificaat is daarom één jaar geldig. Na ieder jaar vindt er een hercontrole plaats, waarbij wordt gecontroleerd of de organisatie nog steeds aan de AVG voldoet. Meer weten over Privacy Verified? Neem dan contact met ons op!
Blog van ICTRecht