De “verwerker” van persoonsgegevens. 

In onze vorige bijdrage zijn we in algemene zin ingegaan op de AVG. Hierbij deel 2!

In deel 1 hebben we aangegeven dat de “verwerker” degene is die ten behoeve van de “verantwoordelijke” persoonsgegevens verwerkt. In deze bijdrage zoomen we wat dieper in op de “verwerker” van de persoonsgegevens. Aangezien de AVG bepaalt dat een verwerker uitsluitend onder het gezag en in opdracht van de verantwoordelijke persoonsgegevens mag verwerken, zijn er dan direct twee belangrijke vragen aan de orde:

      1. Waar moet je als de voor de persoonsgegevens verantwoordelijke partij op letten bij het kiezen van een verwerker, alvorens een contract aan te gaan?
      2. Wat zijn dan de belangrijkste zaken die je in een contract met een verwerker zou moeten of kunnen regelen?

Ad 1) Aanbevelingen voor de keuze van de verwerker

Omdat het gaat om een overeenkomst met een derde die bepaalde verwerkingen gaat uitvoeren met betrekking tot uw persoonsgegevens, is het van groot belang om tot een verantwoorde keuze te komen.

De volgende aanbevelingen helpen daarbij:

  • Verifieer bijvoorbeeld of de verwerker in het meldingenregister van de Autoriteit Persoonsgegevens is opgenomen. Kijk of de verwerker betrokken is geweest bij een overtreding van de privacywetgeving. Check referenties.
  • Belangrijk, check de aanwezigheid van een certificaat (bijv. ISO) en ga na wat de betekenis van dat certificaat is voor u als de verwerkersverantwoordelijke.
  • Overtuig u van de fysieke maatregelen en de geheimhoudingsplicht van de medewerkers van de verwerker en, eveneens belangrijk, de eventueel aanwezige sub-verwerkers.
  • En tot slot, kijk ook of de verwerker procedures heeft in het kader van de beveiliging, het testen van systemen, als ook wat er aan maatregelen klaarligt als er onverhoopt sprake zou zijn van een datalek. Want als er een datalek zou zijn, dan moet volstrekt helder zijn hoe er gehandeld zal worden, juist gelet op het feit dat de (tijdige) melding daarvan een verplichting is van de verwerkingsverantwoordelijke.

 

Ad 2) Aanbevelingen voor de inhoud van de verwerkersovereenkomst

En als de keuze voor de verwerker is bepaald, dan moeten de contractuele verplichtingen over en weer nog goed geregeld worden.

  • Het spreekt voor zich dat de te hanteren begrippen (zoals bijv. de “betrokkene”, een “datalek”, de “sub verwerker” etc.) in de overeenkomst duidelijk en correct moeten worden beschreven.
  • De AVG bepaalt dat de verwerker uitsluitend onder het gezag en in opdracht van de gegevensverantwoordelijke persoonsgegevens mag verwerken. En dus moet dat in de overeenkomst  expliciet opgenomen worden, naast het feit dat de verwerker geen zeggenschap heeft over doel en middelen, het gebruik, de retentie en het verstrekken van gegevens aan derden.
  • Ook het onderwerp en de duur van de verwerking, de aard en het doel daarvan, het soort persoonsgegevens (dat verwerkt zal worden), de rechten en verplichtingen van de verwerkingsverantwoordelijke, de afspraken over doorgifte naar derde landen, de opslag van gegevens buiten de Europese Unie, als ook waarborgen van de vertrouwelijkheid (n.b. ook na het beëindigen van de overeenkomst) zijn allemaal onderwerpen die geregeld moeten worden.
  • Denk ook aan de garanties van de verwerker met betrekking tot het toepassen van bepaalde technische en organisatorische maatregelen voor het vereiste beveiligingsniveau.
  • En voorzie in het contract ook in de situatie dat als een verwerker een andere verwerker in dienst neemt, dat dat pas mogelijk is na specifieke schriftelijke toestemming van de verantwoordelijke. Zorg er dan voor dat in dat geval de aansprakelijkheid ook naar die derde verwerker wordt doorgelegd.
  •  En tot slot, verplicht zijn ook bepalingen dat de verwerker moet meewerken aan regelmatige controles door de verantwoordelijke als ook afspraken over de beëindiging van de overeenkomst en de terbeschikkingstelling van alle data en andere (vertrouwelijke) gegevens.

 

Uit het vorenstaande mag blijken dat in deze overeenkomst deels algemene AVG-onderwerpen zullen moeten worden vastgelegd, maar het veelal ook gaat om maatwerk, afhankelijk van dat wat de specifieke situatie verlangd. Besteed daar tijdig aandacht aan, want de AVG staat voor de deur!

Vragen?

Voor vragen neemt u gerust contact op met: Sheevani Bharatsingh.