Vraag & antwoord

TTP

Wat is de TTP?

De TTP is een derde vertrouwde partij die regisseur is van een netwerk of keten van partijen. Bij de TTP aangesloten partijen conformeren zich aan een gemeenschappelijk normenkader, accepteren dat de TTP de nakoming van afspraken bewaakt en de-escalerend kan optreden in geval van bijvoorbeeld datalekken. De TTP faciliteert de vastlegging van bewijsmateriaal dat nodig kan zijn indien een verantwoordelijke een boete krijgt opgelegd. 

Waarom een TTP?

Organisaties opereren steeds vaker in een netwerk of keten. De naleving van de privacywetgeving en het niveau van gegevensbescherming van de ene organisatie heeft rechtstreeks grote invloed op de ‘privacy hygiëne’ en de risico’s die daarmee gepaard gaan van andere organisaties. Het is ondoenlijk voor partijen om met alle verantwoordelijken, bewerkers of subbewerkers contracten te sluiten, die ook nog eens op elkaar aansluiten of zijn afgestemd. Door zich aan te sluiten bij een TTP kunnen zij vertrouwen op een bepaald beschermingsniveau dat gehanteerd wordt binnen de keten of het netwerk. 

Wat doet de TTP?

De TTP voert de regie over de keten of het netwerk. Zij faciliteert de vastlegging van de privacyboekhouding. Zij kan ingrijpen op het moment dat een partij zich niet houdt aan een vastgestelde beschermingsniveau. Zij verstevigt de bewijspositie van verantwoordelijken, bewerkers en feitelijk leidinggevenden en stelt de verantwoordelijke in staat accountable en auditable te zijn.

Hoe sluit ik aan bij de TTP?

Door een zgn aansluitovereenkomst met de TTP af te sluiten. De aansluitovereenkomst regelt de rechtsverhouding tussen de aangesloten partij en de TTP. Deze rechtsverhouding is uitgewerkt in een TTP-policy, datalek- en incidentenprotocol en mediationreglement, die onverbrekelijk deel uitmaken van de aansluitovereenkomst.  

Waar kan ik terecht met overige vragen over de TTP?

Voor vragen is er een TTP Servicedesk. De TTP Servicedesk is telefonisch te bereiken via 070 392 22 09 of via email ttpservicedesk@duthler.nl

 

Weerbare bewerkersovereenkomst

Waarom een weerbare bewerkersovereenkomst?

De traditionele bewerkersovereenkomst stelt de verantwoordelijke in staat bindende afspraken te maken met diens bewerker(s), maar laat de andere partijen in de keten of het buiten beeld. Met een weerbare bewerkersovereenkomst wordt de verantwoordelijke in staat gesteld met andere partijen in de keten of het netwerk bindende afspraken te maken, zonder dat daartoe bilaterale afzonderlijke contracten moeten worden gesloten. Deze andere partijen hebben namelijk eveneens een aansluitovereenkomst met de TTP gesloten.

Wat is de weerbare bewerkersovereenkomst?

De Weerbare bewerkersovereenkomst is er op gericht binnen de keten of het netwerk eenzelfde niveau van gegevensbescherming te realiseren en daarover transparant te zijn. Binnen de weerbare bewerkersovereenkomst staan normerende afspraken tussen partijen in de keten centraal. Deze afspraken richten zich op het te hanteren normenkader, het minimum niveau van privacy en gegevensbescherming, de te hanteren “taal”, de mores voor bijvoorbeeld het melden van datalekken en afspraken over de wijze waarop ketenpartijen verantwoording afleggen over de uitgevoerde taken. Deze bewerkersovereenkomst maakt de organisatie weerbaar.

 

Hebben mijn verbonden partijen ook allemaal een weerbare bewerkersovereenkomst? 

Niet alle partijen, waarmee u een contract heeft, zullen bij voorbaat een weerbare bewerkersovereenkomst willen. Ze kunnen ook niet verplicht worden tot aanlsuiting bij de TTP. In dat geval verdient het de voorkeur dat een dergelijke partij in ieder geval over een Privacy Seal beschikt en gebruik maakt van de kennis van het FG-register. Op die manier is het niveau van gegevensbescherming helder en worden aansprakelijkheidsrisico’s nog enigszins beheerst.

Wat doe ik als een partij echt geen weerbare bewerkersovereenkomst wil?

Indien een bewerker om welke reden dan ook geen weerbare bewerkersovereenkomst of gewone bewerkersovereenkomst met Privacy Seal wenst af te sluiten en zich dus ook niet aansluit bij een TTP dan kan dat natuurlijk. Ons burgerlijk wetboek gaat uit van contractsvrijheid. Er bestaat dan wel een goede grond voor de verantwoordelijke om de aansprakelijkheidsrisico’s eenzijdig neer te leggen bij de bewerker. De verantwoordelijke heeft immers weinig tot geen zekerheid dat de bewerker handelt in overeenstemming met de Wbp.