Uitbesteden IT-beheertaken, aankoop van bedrijfsvoeringsapplicaties en privacy

Organisaties besteden in toenemende mate IT-beheertaken uit bij gespecialiseerde leveranciers. Deze leveranciers worden ingehuurd om op locatie van de opdrachtgevers beheerdiensten uit te voeren. In toenemende mate gaat de dienstverlening echter verder: de IT-infrastructuur wordt gedeeltelijk of zelfs in zijn geheel als een beheerde dienst afgenomen, waarmee de IT-infrastructuur inclusief het beheer daarop gedeeltelijk buiten de deur wordt gezet.

aanbesteden-koppeldiensten-berichtenmakelaar

Maar ook indien de IT-services van een organisatie geheel in eigen beheer bij de medewerkers worden aangeboden kan al snel sprake zijn van verwerking van persoonsgegevens.

Als organisatie bent u mogelijk verwerkingsverantwoordelijke waarbij uw medewerkers maar ook uw klanten als betrokkenen in de zin van AVG kwalificeren. Weet u welke verplichtingen precies voor u gelden als verwerkingsverantwoordelijke en weet u wanneer u wel en wanneer u niet verplicht bent een verwerkersovereenkomst aan te gaan en wanneer u wel of niet geheimhoudingsverklaringen moet laten ondertekenen?

Ook worden de bedrijfsvoeringsapplicaties door leveranciers steeds vaker via het internet (de ‘cloud’) ter beschikking gesteld en steeds minder vaak lokaal, oftewel ‘on premise’ bij een organisatie geïmplementeerd.

Met behulp van de IT-infrastructuur worden heel vaak persoonsgegevens verwerkt. Niet altijd bestaat het besef hoe breed dit begrip moet worden geïnterpreteerd. Zo kunnen onder meer emailadressen, telefoonnummers, woonadressen, ip-nummers naast concrete persoonsnamen eveneens als persoonsgegevens worden beschouwd.

Weet u precies het verschil tussen een verwerkingsverantwoordelijke en een verwerker, en wist u dat een verwerker ook verwerkingsverantwoordelijke kan worden en wat dit dan voor u betekent? En weet u dat een door u ingeschakelde leverancier complementair of gedeeld verwerkingsverantwoordelijk, samen met u kan zijn? (dit is bijvoorbeeld het geval als u de salarisverwerking van uw medewerkers uitbesteedt) En wat moet u dan regelen? En weet u dat u de ondernemingsraad of andere vormen van medezeggenschap moet betrekken (zie artikel 27, lid 1, onder k. van de Wet op de ondernemingsraden)

Meer informatie?

Wilt u meer weten over gegevensbeschermingsrecht? Of heeft u vragen over de dienstverlening van Emtio? Neem vrijblijvend contact op met Joop Schuilenburg:

Aandachtsgebieden