En die schijf zou zich zomaar eens in Amerika of China kunnen bevinden. Dit kan volgens Wesselingh problemen opleveren, omdat de bescherming van persoonsgegevens in die landen vaak minder goed geregeld is. Persoonsgegevens doorgeven vanuit Europa naar het buitenland mag dan ook alleen als een land voldoende bescherming biedt.
Veel bedrijven schakelen een externe partij in voor gegevensverwerking. 'Tegenwoordig wordt een salarisadministratie of klantensysteem van een bedrijf vaak bijgehouden met behulp van een IT-leverancier. Dat bedrijf weet dan wie jij bent, wanneer je ziek bent, en ook hoeveel je verdient.'
Nieuwe bepalingen
Sinds vorige week zijn er nieuwe modelcontractsbepalingen van de Europese Commissie voor bedrijven die persoonsgegevens verwerken. 'Die modelcontractsbepalingen waren er al, maar zijn nu gemoderniseerd,' zegt Wesseling. 'De vorige standaardbepalingen verwezen nog naar een oude privacyrichtlijn uit 1995. Dat was gek, want sinds 2016 geldt al de Algemene verordening gegevensbescherming. De nieuwe modelcontractbepalingen moeten meer duidelijkheid verschaffen over wat wél mag.'
Je kunt de bepalingen online vinden, maar dan ben je er nog niet. 'Die modelbepalingen zijn een soort bouwpakket waarbij je zelf heel veel moet invullen. Als bedrijf zou ik hier iemand met kennis van zaken voor inschakelen, want het is behoorlijk ingewikkeld.'