Samenwerken is bijna vanzelfsprekend: je deelt een platform, gebruikt samen een systeem of werkt met een externe partij die toegang heeft tot persoonsgegevens. Maar stel dat er iets misgaat. Een verkeerd gedeeld bestand. Onbeveiligde toegang. Of een oud-medewerker die nog in kan loggen. Wie meldt het dan? En wie krijgt de boete als niemand iets doet? Juist bij samenwerking ontstaat er snel verwarring over verantwoordelijkheden. En dat kan je duur komen te staan.
Dit artikel is onderdeel van het thema: Samenwerken en privacy
Wat gaat er vaak mis?
Een datalek melden is verplicht volgens de AVG. Maar bij samenwerkingen zie je regelmatig dat:
- niemand zich verantwoordelijk voelt om te melden
- er onduidelijkheid is over wie actie moet ondernemen
- betrokken partijen van elkaar aannemen dat “de ander het wel oppakt”
- er te laat wordt gemeld (of helemaal niet) – met risico op boetes
Voor de Autoriteit Persoonsgegevens maakt het niet uit wie de fout maakt. Jij bent als verwerkingsverantwoordelijke verplicht om op tijd te handelen.
Wanneer ben jij verantwoordelijk?
Bij samenwerking zijn er grofweg drie scenario’s:
- Je werkt met een verwerker (bijv. een IT-dienstverlener of boekhouder):
→ Jij blijft verantwoordelijk en moet het datalek melden, ook als het bij de ander is ontstaan. - Jullie zijn gezamenlijk verwerkingsverantwoordelijke (bijv. federatie en aangesloten verenigingen):
→ Jullie moeten onderling afspreken wie meldt, wie communiceert met betrokkenen, en wie onderzoekt. Als dat niet vooraf is vastgelegd, ligt de verantwoordelijkheid bij allemaal. - Er is geen duidelijke rolverdeling afgesproken:
→ Grote kans dat niemand iets doet — en dat jij alsnog aansprakelijk bent.
Een praktijkvoorbeeld
Twee stichtingen gebruiken samen een gedeeld Google Drive-account voor projectgegevens. Een vrijwilliger deelt per ongeluk een map met persoonsgegevens met een extern adres. Niemand merkt het meteen. De vrijwilliger denkt dat “de stichting” wel handelt. Maar binnen de stichting weet niemand dat dit is gebeurd.
Het datalek wordt pas weken later opgemerkt, nádat iemand contact opneemt omdat zijn gegevens opduiken op een forum. De schade is niet groot, maar de melding is te laat – en er zijn geen afspraken of documentatie. De Autoriteit Persoonsgegevens tikt beide partijen op de vingers.
Voorkom dit soort situaties door duidelijke afspraken te maken en ze vast te leggen.
Wat moet je nu regelen?
Bij samenwerking is het cruciaal dat je het volgende goed vastlegt:
- Wie is verantwoordelijk voor het melden van een datalek?
- Wie doet het onderzoek?
- Hoe en wanneer wordt gecommuniceerd met betrokkenen?
- Wie documenteert het incident?
- Waar wordt dit intern vastgelegd?
In AVG-support.nl kun je al deze afspraken noteren én je datalekken registeren.
Wat je nu kunt doen in AVG-support.nl:
Leg vast met wie je samenwerkt en wie toegang heeft tot systemen
Gebruik het datalek stappenplan om te weten wat je moet doen bij een datalek
Zo voorkom je dat je straks bij een incident met lege handen staat – of erger nog: met de boete.
Download de gratis checklist: ben jij AVG OK?
Voldoet je organisatie aan de AVG-wetgeving? Check het eenvoudig met onze gratis checklist.
- 15 checks om gelijk uit te voeren
- Kom erachter of jij aan de AVG voldoet
- Direct inzicht in wat je nog moet regelen
