AVG EN VERWERKERSOVEREENKOMSTEN
In de vorige artikelen had ik het al over allerlei soorten veiligheidsregelingen die getroffen moeten worden i.v.m. de AVG. Het verhaal is namelijk niet af als je zelf binnen je eigen bedrijf of website al die stappen hebt gezet. Indien je gegevens deelt met andere bedrijven, dien je met die bedrijven een zogenaamde “verwerkersovereenkomst” te hebben. In de AVG wordt dit vaak ook DPA ( Data Processing Agreement ) genoemd. Tenslotte, hoe veilig je alles zelf op de rit hebt, kan zomaar nutteloos worden zodra derde partijen deze gegevens van jou doorkrijgen en op hun beurt moeten verwerken, omdat ze nu eenmaal nodig zijn om je opdracht voor je klant te vervullen.
VERWERKERSOVEREENKOMSTEN, MET WIE?
Je staat er wellicht niet direct bij stil, maar het is goed en verplicht onder de nieuwe AVG wetgeving, dat je bedrijf alles goed in kaart brengt welke gegevens buiten je eigen onderneming doorgespeeld worden en waarom. Vervolgens dien je er op toe te zien dat deze derde partij een verwerkersovereenomst afgeeft, waarmee ze zelf garanderen vertrouwelijk en veilig met de noodzakelijk door te geven gegevens van je klant, om te gaan. Hieronder een aantal veel voorkomende derde partijen waarme je al snel als website eigenaar of beheerder mee te maken krijgt:
- hostingbedrijf
- boekhouder of online boekhoudproogramma
- google analytics/adwords
- nieuwsbrieven service
- cloudservices waar je data bewaart/opslaat.
Dit zijn er uiteraard maar een aantal, die verschillen per bedrijf en de aard van de werkzaamheden.
Lees meer via de officiële site autoriteitpersoonsgegevens.nl
WANNEER MOET JE EEN VERWERKINGSOVEREENKOMST OPSTELLEN?
Als u andere partijen inschakelt om persoonsgegevens voor u te verwerken, moet u met deze organisaties een ‘verwerkersovereenkomst’ afsluiten. Met een verwerkersovereenkomst sluit u uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken.
U mag alleen verwerkers inschakelen die voldoende garanties bieden dat zij aan de wettelijke vereisten voldoen. Maar let op: als u de gegevensverwerking door een verwerker laat uitvoeren, dan bent u nog steeds verantwoordelijk voor de naleving van de Algemene verordening gegevensbescherming (AVG).
Wat moet er in een verwerkersovereenkomst staan?
In de overeenkomst legt u onder meer het volgende vast:
- Het onderwerp en de duur van de gegevensverwerking.
- De aard en het doel van de gegevensverwerking.
- Het soort persoonsgegevens.
- De categorieën van betrokkenen.
- De rechten en verplichtingen van de verwerkingsverantwoordelijke.
Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG).
U moet de volgende onderwerpen vastleggen:
Algemene beschrijving
Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).
Instructies verwerking
De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
Geheimhoudingsplicht
Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
Beveiliging
De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
Subverwerkers
De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.
In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.
Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).
Privacyrechten
De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
Andere verplichtingen
De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.
Gegevens verwijderen
Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.
Audits
De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).