In de praktijk komt het (vaak) voor dat uw organisatie derden inschakelt. Denkt u hierbij bijvoorbeeld aan het inhuren van een advocaat voor een gerechtelijke procedure of advisering, een accountant die uw jaarrekeningen opstelt of een marketingbureau dat direct-mailings voor u opstelt en verstuurt namens uw organisatie.
Doorgifte van persoonsgegevens aan derden
Bij het inschakelen van derden kan het voorkomen dat u persoonsgegevens van bijvoorbeeld uw werknemers of (contactpersonen van uw) klanten verstrekt aan derden. Dit is toegestaan als u hiervoor een grondslag heeft (artikel 6 AVG).
Op basis van de Algemene Verordening Gegevensbescherming (AVG) dient u in dat geval uw werknemers of klanten te informeren over het feit dát hun persoonsgegevens aan derden worden doorgegeven en aan wélke derden (artikel 13 lid 1 sub d AVG). Ook is het belangrijk uw werknemers of klanten te informeren op basis van welke grondslag u hun persoonsgegevens doorgeeft. Let op: in sommige gevallen zult u ook met deze derde partij een verwerkersovereenkomst moeten sluiten.
Informeren in privacy statement
Betekent dit dat u iedere keer wanneer u persoonsgegevens aan derden verstrekt u uw werknemers of klanten hierover dient te informeren? Nee. Het is voldoende om uw werknemers of klanten hier in uw privacy statement over te informeren.
In dit privacy statement is het voldoende om enkel te vermelden om welke soort derden het gaat. Zo volstaat het noemen van type organisatie (bijv. een accountantskantoor) maar hoeft de naam van het accountantskantoor niet genoemd te worden.
Voorbeeld
Een dergelijke bepaling kan als volgt luiden:
“Uw gegevens kunnen worden doorgegeven aan andere partijen buiten [naam onderneming of groep] als we daar wettelijk toe verplicht zijn, omdat we een overeenkomst met u moeten uitvoeren of omdat we een andere dienstverlener inzetten. We verstrekken uw gegevens ook aan andere partijen die we nodig hebben in het kader van onze dienstverlening. Bijvoorbeeld advocaten en accountants.”
Let op: Mogelijk zijn de grondslagen voor de doorgifte van persoonsgegevens, zoals gebruikt in dit voorbeeld (zoals wettelijke verplichting, uitvoering van de overeenkomst en gerechtvaardigd belang), niet (volledig) van toepassing voor uw organisatie. Bij gebruik van bovenstaande voorbeeldtekst dient dan ook eerst te worden beoordeeld op basis van welke grondslag het verstrekken van de persoonsgegevens binnen uw organisatie plaatsvindt. Wij adviseren u hier graag over.