WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

Transcriptie

1 WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG) In business for people.

2 Contents 3 Wat is de AVG? 4 Verwerkersovereenkomst 6 Roadmap naar de nieuwe verwerkersovereenkomst 7 Bijlage 1: Unit4 en de AVG 9 Bijlage 2: Protocol van Unit4 voor datalekken 2 Unit4 Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

3 Wat is de AVG? Op 25 mei 2018 treedt een nieuwe Europese privacywet in werking, namelijk de General Data Protection Regulation (GDPR). Dit is een privacywetgeving die geldt binnen de hele EU. In Nederland is deze privacyverordening bekend onder de naam Algemene Verordening Gegevensbescherming (AVG). Deze regelgeving zal in alle lokale privacywetten binnen de hele EU en Europese Economische Ruimte (EER) worden geïmplementeerd. De verordening geldt voor alle organisaties die producten of diensten verkopen aan burgers in Europa en hun persoonsgegevens verwerken, inclusief organisaties op andere continenten. De verordening biedt burgers in de EU en EER meer controle over hun persoonsgegevens en moet waarborgen dat hun informatie goed wordt verwerkt. De nieuwe AVG vervangt de Wet bescherming persoonsgegevens (Wbp). De AVG maakt het noodzakelijk dat organisaties die persoonsgegevens van EU-Burgers verwerken hun verwerkingsproces zodanig aanpassen dat deze in lijn is met de nieuwe privacyverordening. Dit houdt onder meer in dat de huidige bewerkersovereenkomst dient te worden omgezet naar een verwerkersovereenkomst die compliant is met de AVG. In deze whitepaper wordt uitgelegd hoe Unit4 zijn verwerkersovereenkomst compliant maakt.

4 Verwerkersovereenkomst In de AVG staat (de bescherming van) privacy centraal. Het is daarom belangrijk dat verwerking van persoonsgegevens goed is vastgelegd. In sommige gevallen is het noodzakelijk om dit vast te leggen in een verwerkersovereenkomst. Onderstaand een beknopte uitleg wanneer dit het geval is en hoe Unit4 u hierbij helpt. Wanneer noodzaak Een verwerkersovereenkomst is een wettelijk verplichte overeenkomst op het moment dat u als klant aan Unit4 vraagt om persoonsgegevens voor u te verwerken. U bent op dat moment verwerkingsverantwoordelijke en Unit4 is de verwerker. Het afsluiten van een verwerkersovereenkomst is een verplichting voor zowel de verwerkingsverantwoordelijke als voor de verwerker. Besef dat er al snel sprake is van verwerken van persoonsgegevens: het opslaan van persoonsgegevens bij een cloudprovider of Software as a Service aanbieder is ook al een voorbeeld van verwerken. Een verwerkersovereenkomst afsluiten, moest onder de Wet bescherming persoonsgegevens ook al. Nieuw is dat er een aantal verplichte onderwerpen in de AVG is bijgekomen die u in de verwerkersovereenkomst moet vastleggen. Unit4 heeft een nieuwe verwerkersovereenkomst opgesteld die rekening houdt met de AVG. In dit document richten we ons met name op de zogenaamde verkoop verwerkersovereenkomst. Dat wil zeggen de situatie waarin Unit4 persoonsgegevens voor een verwerkingsverantwoordelijke (klant) zal verwerken. Inhoud Onderstaande onderwerpen zijn opgenomen in de nieuwe verwerkersovereenkomst van Unit4 en worden in de overeenkomst verder uitgewerkt. Onderwerp: een beschrijving van het doel van de verwerkingen, de middelen die worden gebruikt voor de verwerkingen, het type te verwerken persoonsgegevens, de bewaartermijn en plaats/land waar de persoonsgegevens worden verwerkt. Uitvoer: verwerkingsverantwoordelijke geeft toestemming voor verwerking van de persoonsgegevens, conform de AVG en volgens de in de verwerkersovereenkomsten vastgelegde voorwaarden. 4 Unit4 Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

5 Verwerkingsverantwoordelijke: verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking vast. Daarnaast is de verwerkingsverantwoordelijke degene die bepaalt dat gegevens mogen worden verwerkt. De verwerkingsverantwoordelijke is en blijft te allen tijde eigenaar van de gegevens. Verwerker: verwerkingsverantwoordelijke geeft de verwerker opdracht om persoonsgegevens te verwerken. De verwerker zorgt voor een zorgvuldige verwerking van deze gegevens. De gegevens die door verwerkingsverantwoordelijke zijn toevertrouwd aan de verwerker, mogen door de verwerker niet voor andere doeleinden worden verwerkt. Sub-Verwerkers: verwerker is verantwoordelijk voor eventuele inzet van sub-verwerker(s). De verwerkingsverantwoordelijke geeft door het ondertekenen van de overeenkomst algemene toestemming aan de verwerker om sub-verwerker(s) in te schakelen. De verwerkingsverantwoordelijke wordt geïnformeerd over de inzet van eventuele sub-verwerker(s) en kan bij wijziging of vervanging van een sub-verwerker bezwaar maken. Beveiliging en Datalekken: verwerker zal de technische en organisatorische beveiligingsmaatregelen treffen die nodig zijn om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. In de verwerkersovereenkomst wordt vastgelegd welke maatregelen dit zijn. Mocht er zich onverhoopt een datalek voordoen, dan is beschreven hoe verwerker in dat geval zal handelen. Geheimhouding: verwerker is verantwoordelijk voor de geheimhouding van de aan hem toevertrouwde gegevens. Audits: verwerker stelt verwerkingsverantwoordelijke in staat om de afspraken over de gegevens die worden verwerkt en zijn vastgelegd in de verwerkersovereenkomst, te controleren of te laten controleren door onafhankelijke auditors. Aansprakelijkheid: zowel verwerker als verwerkingsverantwoordelijke kunnen aansprakelijk zijn voor de schade als zij niet voldoen aan hun verplichting die is vastgelegd in de verwerkersovereenkomst of voor schade die wordt veroorzaakt doordat niet wordt voldaan aan de wettelijke verplichting van de AVG. Wijzigingen en beëindiging: eventuele wijzigingen in de verwerkersovereenkomst zullen in onderling overleg worden vastgesteld. Bij het beëindigen van de overeenkomst zorgt de verwerker ervoor dat de gegevens worden teruggegeven aan de verwerkingsverantwoordelijke of op verzoek van de verwerkingsverantwoordelijke worden vernietigd.

6 Roadmap naar de nieuwe verwerkersoverenkomst Vanaf november 2017 wordt de nieuwe verwerkersovereenkomst (verkoop) binnen Unit4 afgerond en gereedgemaakt voor publicatie in februari Om inzicht te krijgen in de stappen die worden genomen om tot deze nieuwe verwerkersovereenkomst te komen, heeft Unit4 een roadmap opgesteld. Globaal worden de volgende stappen genomen: Opstellen Controleren en afstemmen Aanpassen Publiceren 1. Opstellen Binnen Unit4 worden verschillende verwerkersovereenkomsten opgesteld. Unit4 is naast verwerker ook verwerkingsverantwoordelijke en heeft op sommige vlakken verwerking uitbesteed bij sub-verwerkers. Al deze overeenkomsten worden aangepast. 2. Controleren en afstemmen Nadat verwerkersovereenkomsten zijn opgesteld, wordt per product of dienst een controle uitgevoerd of verwerking en eventuele sub-verwerking in overeenstemming zijn met de nieuw opgestelde overeenkomst. 3. Aanpassen Na controle worden eventuele aanpassingen aan producten of diensten doorgevoerd. Eventuele subverwerkers die worden ingezet, krijgen een nieuwe verwerkersovereenkomst die in overeenstemming is gebracht met de AVG. Specifieke bijlagen voor producten en diensten van Unit4 worden aangepast aan de nieuwe verwerkersovereenkomst. 4. Publiceren De nieuwe verwerkersovereenkomst (verkoop) wordt gepubliceerd en ter ondertekening aangeboden. Roadmap: Om er zeker van te zijn dat de nieuwe verwerkersovereenkomst (verkoop) klaar is voordat de AVG in mei 2018 van kracht wordt, heeft Unit4 voor de bovenstaande stappen de volgende planning opgesteld. De publicatie van de nieuwe verwerkersovereenkomst zal per product of dienst worden aangekondigd. November / December 2017 December 2017 / Januari 2018 Februari 2018 Februari / Maart 2018 Opstellen Controleren en afstemmen Aanpassen Publiceren 6 Unit4 Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

7 Bijlage 1: Unit4 en de AVG Privacy (en daarmee de AVG) geniet de hoogste prioriteit bij Unit4. Unit4 bereidt zijn mensen, producten en processen voor om te voldoen aan de vereisten van de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 van kracht wordt. Hieronder worden de belangrijkste elementen uit de AVG en de acties die Unit4 onderneemt, toegelicht. Privacy by design Als onderdeel van de R&D-processen voor de verschillende producten van Unit4 wordt samen met een externe auditor een audit uitgevoerd om vast te stellen welke stappen moeten worden ondernomen om het Privacy by design -concept te implementeren in de ontwikkelingscyclus. De aanbevelingen van de audit worden als uitgangspunt genomen voor de ontwikkeling van nieuwe producten die na 25 mei 2018 op de markt komen. In dit proces wordt het Privacy by default - concept eveneens overwogen. Voor andere functies, zoals support, professional services en cloud services, vindt een evaluatie plaats om vast te stellen welke impact het Privacy by design -concept heeft en welke maatregelen moeten worden genomen. Een overzicht van Privacy by design binnen Unit4 R&D vindt u in de algemene whitepaper over de AVG. Verwerkersovereenkomsten Op dit moment verwerkt Unit4 al persoonsgegevens namens zijn klanten. Deze verwerking vindt in de meeste gevallen plaats op basis van een bewerkingsovereenkomst. Deze overeenkomsten zullen worden geëvalueerd en afgestemd op de nieuwe vereisten op grond van de AVG, zoals (zonder beperkingen) de geheimhoudingsplicht voor werknemers, een beschrijving van technische en organisatorische maatregelen op het gebied van gegevensbeveiliging en de verantwoordelijkheidsen auditvereisten. De bewerkersovereenkomst heet onder de AVG een verwerkersovereenkomst. Registratie van verwerking Unit4 zal alle verwerkingsactiviteiten registreren en documenteren conform de vereisten van de AVG. De opzet en structuur van het register worden bepaald door de interne IT-afdeling en R&D-afdeling van Unit4. Gegevensbeveiligingsvoorschriften De gegevensbeveiligingsvoorschriften binnen de AVG zijn min of meer hetzelfde als de richtlijnen van de Autoriteit Persoonsgegevens waaraan Unit4 voldoet. Datalekken Unit4 heeft op grond van de AVG de verplichting om datalekken onverwijld aan de verwerkingsverantwoordelijke te melden. De verwerkingsverantwoordelijke dient op haar beurt datalekken binnen een tijdsbestek van 72 uur (zoals bepaald in de AVG) ter kennisgeving te melden aan de verantwoordelijke autoriteit. Unit4 heeft een intern protocol voor datalekken opgesteld dat zal worden bijgewerkt in lijn met de AVG.

8 Privacy-effectbeoordeling Unit4 zal een privacy-effectbeoordeling, onder de AVG ook wel een Data Protection Impact Assessment (DPIA) of Privacy Impact Assessment (PIA) genoemd, uitvoeren als er een hoog privacy risico bestaat voor de verwerking van persoonsgegevens en zal de DPIA indien nodig tot een integraal onderdeel van zijn processen maken. Functionaris voor de gegevensbescherming Gegevensbescherming is onderdeel van de Global Information Security-functie binnen Unit4. Als zodanig is deze functie aangewezen als functionaris voor de gegevensbescherming in het kader van de AVG. In bepaalde landen waarin Unit4 actief is, zullen desgewenst lokale functionarissen voor de gegevensbescherming worden benoemd om de naleving op lokaal niveau te garanderen. Audits en accreditaties Unit4 evalueert welke audits en accreditaties vereist zijn voor de diensten die Unit4 levert en mogelijk moeten worden aangepast conform de AVG. De accreditatie kan verschillen per product, dienst of land waar het product of de dienst wordt aangeboden aan het publiek. 8 Unit4 Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

9 Bijlage 2: Protocol van Unit4 voor datalekken Datalek Escalatiemanager informeert TST (Technical Security Team) Operationele IT-medewerkers Lokale directie Onderzoek naar datalek: Beschrijving van inbreuk Getroffen IT-systemen Getroffen data Verwachting gevolg van inbreuk Beschrijving van herstel beveiliging Escalatiemanager evalueert onderzoeksrapport datalek Inbreuk op beveiligingsmaatregel? NEE JA Bestaat de kans dat er een inbreuk is op beveiliging, privacygegevens verloren zijn gegaan of onrechtmatig zijn verwerkt? NEE Reguliere procedure voor incidenten JA Heeft bovenstaamd een negatief effect op de privacy of persoonsgegevens van de getroffen persoon? NEE JA Escalatiemanager evalueert onderzoeksrapport datalek en beslist of datalek wordt gemeld aan autoriteiten of klant Functionaris Gegevensbescherming en/of lokale juridische afdeling informeren en juiste informatie verschaffen aan autoriteiten of klant Instructies voor handelen bij datalek volgen Einde van procedure

10 Over Unit4 Unit4 is een toonaangevende leverancier van gebruiksvriendelijke bedrijfssoftware voor dienstverlenende organisaties. Met een jaaromzet van bijna 600 miljoen euro en meer dan 4200 werknemers over de hele wereld levert Unit4 hoogwaardige ERP- en bedrijfssoftware voor diverse branches. Duizenden organisaties uit diverse sectoren, waaronder professionele dienstverlening, publieke dienstverlening, non-profit, onroerend goed, groothandel, financiële dienstverlening en onderwijs, profiteren van de oplossingen van Unit4. unit4.com Unit4 Papendorpseweg BJ Utrecht, Nederland T E info.group@unit4.com Copyright Unit4 N.V. Alle rechten voorbehouden. De informatie in dit document is uitsluitend bedoeld ter informatie. De inhoud is beknopt en kan te allen tijde worden gewijzigd. Alle merknamen en/of handelsmerken van derden waarnaar wordt verwezen, zijn gedeponeerde of niet-gedeponeerde handelsmerken van hun respectieve eigenaars. WP171214NL 10 Unit4 Verwerkersoveenkomsten en de Algemene Verordening Gegevensbescherming (AVG) In business for people.