Wat heeft inkopen met privacy te maken?

Hoewel veel bedrijven en inkopers het zich waarschijnlijk niet zullen realiseren, heeft de recente invoering van de meldplicht datalekken in de Wet bescherming persoonsgegevens (Wbp) invloed op het inkoopvak. U vraagt zich waarschijnlijk af wat privacy en inkopen met elkaar van doen hebben. In dit artikel licht ik de samenhang toe.


Wanneer speelt privacy een rol bij inkoop?
Het antwoord is relatief eenvoudig te geven: zodra u een product of dienst inkoopt waarbij persoonsgegevens verwerkt worden. U kunt hierbij denken aan het aanschaffen van een nieuw ERP of HR systeem waarin de persoonsgegevens van uw medewerkers worden verwerkt, bij de outsourcing van IT aan een IT-dienstverlener, het inkopen van een Infrastructure as a Service (IAAS) of Software as a Service (SAAS)-oplossing. Maar ook bij een contractendatabase is sprake van het verwerken van persoonsgegevens. In contracten staan namelijk persoonsgegevens van de vertegenwoordigers van de instellingen die het contract ondertekenen.

Wat heb ik hier als inkoper mee te maken?
Zoals hierboven geschetst, is het bij het inkopen van producten of diensten waarbij persoonsgegevens worden verwerkt van belang om rekening te houden met de privacywet- en regelgeving. Wanneer u een product of dienst inkoopt, dient u na te gaan of er persoonsgegevens verwerkt gaan worden. Met name sinds de invoering van de meldplicht datalekken1 per 1 januari 2016, waarbij de boetebevoegdheid van de Autoriteit Persoonsgegevens (AP)2 is toegenomen. Waar in het verleden de toezichthouder een maximale boete op kon leggen van €4.500,-, zijn met de invoering van de meldplicht datalekken de boetes aanzienlijk verhoogd. De meldplicht datalekken verplicht het melden van een datalek door de verantwoordelijke3 , op sanctie van een boete van maximaal €820.000,-.

De meldplicht datalekken uit artikel 34a Wbp hangt nauw samen met artikel 13 Wbp. In artikel 13 Wbp is de verplichting voor de verantwoordelijke vastgelegd om te zorgen voor passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen dienen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau te garanderen. Daarbij moet gelet worden op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijner verder op gericht om onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Als inkoper dient u er dus rekening mee te houden dat wanneer u producten of diensten inkoopt waarbij persoonsgegevens verwerkt worden er sprake is van passende technische en organisatorische beveiligingsmaatregelen. Voorbeelden hiervan zijn het verplicht stellen van een ISO 27001 of NEN 7510 certificering bij een IT- of Cloud dienstverlener of het ondertekenen van een geheimhoudingsverklaring bij het inhuren van extern personeel.

Verder eist de Wbp dat wanneer de verwerking van persoonsgegevens wordt uitbesteed aan een bewerker4 u er, als verantwoordelijke, zorg voor draagt dat de bewerker voldoende waarborgen biedt ten aanzien van de beveiliging van de persoonsgegevens en het melden van een inbreuk op de beveiliging. Om dit te waarborgen verplicht de wet het verwerken van persoonsgegevens door een bewerker vast te leggen in een overeenkomst tussen de verantwoordelijke en de bewerker, de zogenaamde bewerkersovereenkomst.
Nu hoor ik u denken: is dit niet een taak voor de Compliance afdeling, de IT-afdeling of de juridische afdeling? Wat heb ik hier als inkoper mee te maken?

Als inkoper dient u zich te realiseren dat wanneer u producten of diensten inkoopt waarbij persoonsgegevens verwerkt worden, de bewerkersovereenkomst5 een onderdeel van het inkoopcontract moet zijn. In de bewerkersovereenkomst wordt onder andere vastgelegd onder welke voorwaarden de bewerker persoonsgegevens mag verwerken, of het inhuren van onderleveranciers, een zogenoemde derde6 , toegestaan is. In de bewerkersovereenkomst wordt verder vastgelegd op welke wijze en binnen welke termijn een datalek door de bewerker aan de verantwoordelijke gemeld dient te worden. De verantwoordelijke blijft immers te allen tijde verantwoordelijke voor de verwerking van de persoonsgegevens en het melden van een datalek aan de Autoriteit Persoonsgegevens, ook wanneer het de verwerking uitbesteed aan een bewerker. Om deze reden en gezien de hoogte van de boetes onder de meldplicht datalekken, is het opnemen van een aansprakelijkheidsclausule in de bewerkersovereenkomst van groot belang. Een door de toezichthouder aan de verantwoordelijke opgelegde boete kan op deze wijze verhaald worden op de bewerker, indien de bewerker in gebreke is gebleven bij de uitvoering van de bewerkersovereenkomst of het melden van een datalek. Met het oog op de aankomende Europese Algemene verordening gegevensbescherming (Avg) wordt deze clausule nog belangrijker. Met de invoering van de Avg worden de boetes verder verhoogd, tot een maximum van 2 % van de jaarlijkse wereldwijde omzet. Dit kan voor grote multinationals in de honderden miljoenen oplopen.

Het mag duidelijk zijn dat er een samenhang tussen privacy en inkopen is. U dient zich er als inkoper van te vergewissen of er bij het in te kopen product en/of dienst sprake is van de verwerking van persoonsgegevens. Indien dit het geval is moet u een bewerkersovereenkomst, als onderdeel van het contract met uw leveranciers te sluiten. Hierin moeten in ieder geval de voorwaarden waaronder de persoonsgegevens verwerkt mogen worden, de meldplicht datalekken, en de aansprakelijkheid zijn opgenomen. Dit kan u in een later stadium een hoop hoofdbrekens en hoge boetes voorkomen.

——————————–

1 Een datalek is een inbreuk op de beveiliging, bedoeld in artikel 13 en 34a Wbp, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens.
Autoriteit Persoonsgegevens is per 1 januari 2016 de nieuwe naam voor het College Bescherming persoonsgegevens (CBP).
3 (de organisatie, die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, in het geval van de genoemde voorbeelden de organisatie waarvoor u inkoopt.
De partij waarvan u het product of dienst afneemt is een Bewerker in de zin van de Wbp.
Artikel 14 lid 2 van de Wbp stelt het afsluiten van een bewerkersovereenkomst verplicht.
derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken