Succesvolle ISI Campus “GDPR in relatie tot web-to-print”

Per 25 mei 2018 geldt in alle lidstaten van de EU de GDPR. De GDPR die in Nederland Algemene Verordening Gegevensbescherming (AVG) gaat heten en de Wet bescherming persoonsgegevens (Wbp) vervangt, heeft nogal wat impact voor grafische productiebedrijven.

Daarom organiseerde ISI publishing innovators op 27 oktober 2017 een Campus over de invoering van de GDPR in relatie tot web-to-print.

Juridisch specialiste Isabelle Wárlám is aanwezig om haar juridische kennis op dit vlak te delen. Al snel wordt duidelijk dat de invoering van de AVG meer impact heeft dan de aanwezigen aanvankelijk dachten.

Isabelle trapt af met een verhaal over de AVG, het ontstaan en op welke punten deze afwijkt van de huidige Wbp.

In alle grafische productie bedrijven worden persoonsgegevens verwerkt. Ieder grafisch productiebedrijf is dus in veel gevallen een verwerker. En als verwerker van persoonsgegevens heb je onder de nieuwe AVG meer verplichtingen dan voorheen. Daarnaast is niet naleven van de regels strafbaar en kan je als organisatie beboet worden. Het is dus belangrijk om je rol als verwerker van persoonsgegevens goed vast te leggen in een verwerkersovereenkomst met je opdrachtgever, maar ook met eventuele onderaannemers. Ook is het verstandig om na te denken over je procedures rondom dataverwerking. Hoe is dat nu geregeld en wat zijn de risico’s? Pas procedures waar nodig aan.

Wat is er nieuw in de AVG

  • Naleving aantonen (accountability)
  • Meer eigen / directe verplichtingen verwerker
  • Regeling tussen gezamenlijke verwerkingsverantwoordelijken
  • Register(documentatie)plicht
  • Verplichte functionaris voor gegevensbescherming
  • Privacy by design en by default
  • Informatieplicht richting betrokkenen uitgebreid
  • Recht op dataportabiliteit
  • Kinderen
  • Boetes …

Gedurende de Campus ontstaat regelmatig discussie over bewaartermijnen en aansprakelijkheden. Is het bijvoorbeeld nog wel verstandig om bestanden via mail of WeTransfer te ontvangen van je opdrachtgevers. Hoe ga je vervolgens met die mails om als een consument gebruik maakt van zijn recht om vergeten te worden. Ga je dan mail voor mail na of de betreffende persoonsgegevens wel verwijderd zijn? De AVG dwingt je over dergelijke zaken na te denken.

Naast Isabelle Wárlám is ook Frits Ruwhoff aanwezig. Frits is naast zijn werk als ICT manager voor een grafisch productiebedrijf ook Privacy Officer bij ISI. Frits deelt zijn ervaringen met de aanwezigen. Aan de hand van een aantal praktijkvoorbeelden laat Frits de zaal zien dat de AVG verregaande gevolgen kan hebben. Zeker wanneer je als organisatie in staat wil zijn om overheden en grotere bedrijven te bedienen, is het zaak om goed voorbereid te zijn. Er kwam een voorbeeld voorbij van een verwerkersovereenkomst die vergelijkbaar is met een ISO 27001 audit.  In sommige gevallen is er wat ruimte om te onderhandelen over de inhoud van een verwerkersovereenkomst, in veel gevallen ben je als dienstverlener inwisselbaar en heb je je te houden aan de gestelde voorwaarden. Dat betekent dat je als organisatie goed moet kijken naar je interne processen, maar ook naar de partners met wie je samenwerkt. Zorg dat je procedures en systemen op orde zijn en dat je de verantwoordelijkheid voor het zorgvuldig omgaan met aangeleverde data ook met je onderaannemers goed vastlegt.

Een aantal tips die Frits en Isabelle de aanwezigen geven waren:

    • Doe voor iedere opdracht die je uitvoert een PIA (privacy impact assessment) in deze analyse kijk je of je huidige procedures volstaan om de te verwerken persoonsgegevens te beschermen.
    • Overweeg ISO 27001 certificering. Veel (potentiele) opdrachtgevers eisen straks van jou als verwerker van persoonsgegevens dat je zorgvuldig omgaat met deze gegevens en dat je dit ook kan aantonen. Door je te laten certificeren voor ISO 27001 laat je zien dat je stappen hebt gezet om gegevens te beschermen en dat er binnen je organisaties procedures zijn om datalekken te voorkomen.
    • Zorg dat je een sluitende verwerkersovereenkomst hebt met je opdrachtgevers en eventuele onderaannemers waar je werk aan uitbesteed.
    • Zorg voor een sluitende procedure voor het aanleveren van bestanden, zodat je kunt voldoen aan gestelde bewaartermijnen en verzoeken van consumenten om vergeten te worden.
    • E-mail is geen veilig kanaal voor het aanleveren van bestanden. Het is eenvoudig te hacken en vaak voor meerdere medewerkers toegankelijk.

Werkt uw printbedrijf ook met een online portal of webshop waarbij klanten printopdrachten plaatsen via een web-to-print platform? Dan kunt u daarvoor bij Wárlám Legal een verwerkersovereenkomst bestellen voor EUR 350 exclusief btw. Neem contact op met Isabelle Wárlám voor de mogelijkheden via deze link. 

Werkt u nog niet met een web-to-print portal maar wilt u weten hoe een web-to-print portal uw organisatie ISI kan helpen bij het naleven van de AVG? Neem contact met hen op via deze link.

Rob van den Braak

Printer’s devil (1964), phototypesetter, offsetprinter, teacher of graphic techniques, salesmanager, productmanager, trade journalist, founder of BlokBoek e-zine (2011). But above all husband, father, friend and lover of life in southern Spain (since 2010).

Logo Pmb C3 2

Kandidaten gezocht

Op zoek naar een inspirerende baan in de printmedia branche, meld je dan aan als kandidaat op printmediabanen.nl

De trainingen voor 2022 staan gereed. Kijk voor het volledige online aanbod van bestaande- en nieuwe trainingen op de website.

Elke week het nieuws van de printindustrie in de mailbox
Inschrijven:

* verplicht invulveld

BLOKBOEK.COM EN PRINTMEDIANIEUWS: HET OPTIMALE DOELGROEP BEREIK