De “verwerker” van persoonsgegevens. 

In onze vorige bijdrage zijn we in algemene zin ingegaan op de AVG. Hierbij deel 2!

In deel 1 hebben we aangegeven dat de “verwerker” degene is die ten behoeve van de “verantwoordelijke” persoonsgegevens verwerkt. In deze bijdrage zoomen we wat dieper in op de “verwerker” van de persoonsgegevens. Aangezien de AVG bepaalt dat een verwerker uitsluitend onder het gezag en in opdracht van de verantwoordelijke persoonsgegevens mag verwerken, zijn er dan direct twee belangrijke vragen aan de orde:

      1. Waar moet je als de voor de persoonsgegevens verantwoordelijke partij op letten bij het kiezen van een verwerker, alvorens een contract aan te gaan?
      2. Wat zijn dan de belangrijkste zaken die je in een contract met een verwerker zou moeten of kunnen regelen?

Ad 1) Aanbevelingen voor de keuze van de verwerker

Omdat het gaat om een overeenkomst met een derde die bepaalde verwerkingen gaat uitvoeren met betrekking tot uw persoonsgegevens, is het van groot belang om tot een verantwoorde keuze te komen.

De volgende aanbevelingen helpen daarbij:

  • Verifieer bijvoorbeeld of de verwerker in het meldingenregister van de Autoriteit Persoonsgegevens is opgenomen. Kijk of de verwerker betrokken is geweest bij een overtreding van de privacywetgeving. Check referenties.
  • Belangrijk, check de aanwezigheid van een certificaat (bijv. ISO) en ga na wat de betekenis van dat certificaat is voor u als de verwerkersverantwoordelijke.
  • Overtuig u van de fysieke maatregelen en de geheimhoudingsplicht van de medewerkers van de verwerker en, eveneens belangrijk, de eventueel aanwezige sub-verwerkers.
  • En tot slot, kijk ook of de verwerker procedures heeft in het kader van de beveiliging, het testen van systemen, als ook wat er aan maatregelen klaarligt als er onverhoopt sprake zou zijn van een datalek. Want als er een datalek zou zijn, dan moet volstrekt helder zijn hoe er gehandeld zal worden, juist gelet op het feit dat de (tijdige) melding daarvan een verplichting is van de verwerkingsverantwoordelijke.

 

Ad 2) Aanbevelingen voor de inhoud van de verwerkersovereenkomst

En als de keuze voor de verwerker is bepaald, dan moeten de contractuele verplichtingen over en weer nog goed geregeld worden.

  • Het spreekt voor zich dat de te hanteren begrippen (zoals bijv. de “betrokkene”, een “datalek”, de “sub verwerker” etc.) in de overeenkomst duidelijk en correct moeten worden beschreven.
  • De AVG bepaalt dat de verwerker uitsluitend onder het gezag en in opdracht van de gegevensverantwoordelijke persoonsgegevens mag verwerken. En dus moet dat in de overeenkomst  expliciet opgenomen worden, naast het feit dat de verwerker geen zeggenschap heeft over doel en middelen, het gebruik, de retentie en het verstrekken van gegevens aan derden.
  • Ook het onderwerp en de duur van de verwerking, de aard en het doel daarvan, het soort persoonsgegevens (dat verwerkt zal worden), de rechten en verplichtingen van de verwerkingsverantwoordelijke, de afspraken over doorgifte naar derde landen, de opslag van gegevens buiten de Europese Unie, als ook waarborgen van de vertrouwelijkheid (n.b. ook na het beëindigen van de overeenkomst) zijn allemaal onderwerpen die geregeld moeten worden.
  • Denk ook aan de garanties van de verwerker met betrekking tot het toepassen van bepaalde technische en organisatorische maatregelen voor het vereiste beveiligingsniveau.
  • En voorzie in het contract ook in de situatie dat als een verwerker een andere verwerker in dienst neemt, dat dat pas mogelijk is na specifieke schriftelijke toestemming van de verantwoordelijke. Zorg er dan voor dat in dat geval de aansprakelijkheid ook naar die derde verwerker wordt doorgelegd.
  •  En tot slot, verplicht zijn ook bepalingen dat de verwerker moet meewerken aan regelmatige controles door de verantwoordelijke als ook afspraken over de beëindiging van de overeenkomst en de terbeschikkingstelling van alle data en andere (vertrouwelijke) gegevens.

 

Uit het vorenstaande mag blijken dat in deze overeenkomst deels algemene AVG-onderwerpen zullen moeten worden vastgelegd, maar het veelal ook gaat om maatwerk, afhankelijk van dat wat de specifieke situatie verlangd. Besteed daar tijdig aandacht aan, want de AVG staat voor de deur!

Vragen?

Voor vragen neemt u gerust contact op met: Sheevani Bharatsingh.

Opgelet: de AVG komt eraan!

De Algemene Verordening Gegevensbescherming (AVG) komt eraan… of, euh.. is er eigenlijk al. Deze treedt op 1 mei 2018 formeel in werking. Geen nieuwe Wet, maar een Verordening die vanaf dat moment rechtstreeks in de Europese lidstaten van de EU werkt.

De bijdrage hierover in deze spotlight beoogt geen totaal overzicht te geven van wat de AVG allemaal gaat betekenen – dat is veelomvattend – maar beoogt enig inzicht te geven waar de AVG voor staat. In onze volgende blogs en nieuwsbrieven zal er steeds op diverse voor de praktijk relevante AVG-onderwerpen nader worden ingezoomd.

Nu eerst deel 1, een algemene inleiding.

De AVG is breder dan de nu nog geldende Wet Bescherming Persoonsgegevens. De AVG introduceert een veelomvattende en uitgebreide Europese privacyregeling, te beginnen bij de invoering van een (deels nieuw) begrippenkader.

De AVG kent voor de toepassing in de praktijk belangrijke begrippen, zoals: ”persoonsgegevens”, “bijzondere persoonsgegevens”, “verwerking”, “verantwoordelijke“, “verwerker” en “verwerkersovereenkomst”.

Wanneer kwalificeert bepaalde informatie als een persoonsgegeven? In welke ‘hoedanigheden’ komen deze gegevens in de praktijk voor? Is een kenteken een persoonsgegeven in de zin van de AVG? Of een IP adres? Of een röntgenfoto? En bepaalde onderzoekgegevens?

De zoektocht naar het antwoord op dit soort vragen begint altijd artikel 1 van de AVG: een persoonsgegeven is “iedere informatie betreffende een geidentificeerde of identificeerbare natuurlijke persoon.” In alle door mij hierboven genoemde voorbeelden gaat het inderdaad om persoonsgegevens. Dat is echter in de praktijk niet altijd op voorhand even duidelijk.

Als men in de aanloop naar de inwerkingtreding met de AVG aan de slag gaat, moet men zich allereerst rekenschap geven van de vraag of er gewerkt wordt met persoonsgegevens en zo ja, om welke persoonsgegevens het dan precies gaat. Daarvan zal men zich primair bewust moeten zijn en deze persoonsgegevens zullen steeds specifiek geduid moet worden.

Bij die duiding is direct relevant of er dan mogelijk sprake is van het aanwezig zijn en/of verwerken van een specifieke soort persoonsgegevens, de zogeheten “bijzondere persoonsgegevens”. Daarbij gaat het om een persoonsgegevens, zoals gegevens met betrekking tot ras, etniciteit, politieke opvattingen, genetische gegevens, seksueel gedrag, gegevens over gezondheid. Hierover bepaalt de AGV dat het verboden is deze te verwerken, tenzij wordt voldaan aan de specifiek in de AVG genoemde uitzonderingsmogelijkheden (daarover in een volgende bijdrage meer).

In de vorige zin staat het werkwoord “verwerken”. Wat houdt dat begrip precies in?

Bij het verwerken van persoonsgegevens in de zin van de AVG gaat het om: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens […] al dan niet uitgevoerd via automatische procedures”.

Het begrip ziet concreet op activiteiten zoals: ”verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzenden, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen” van persoonsgegevens. Een hele mond vol activiteiten dus, op grond waarvan het direct duidelijk is hoe breed het toepassingsbereik van de AVG in de praktijk eigenlijk is.

En wie is de zogeheten “verantwoordelijke” in de zin van de AVG?

Dat is degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze.

Zie artikel 4 lid 7 AVG: “natuurlijk of rechtspersoon […] die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt”. Op deze verantwoordelijke rusten allerlei verplichtingen van de AVG zoals, het wettelijk kader naleven, het beoordelen van de rechtmatigheid van de verwerking (is deze in overeenstemming met de AVG), het zorgen voor en het controleren van voldoende beveiliging en geheimhouding, het controleren van het recht op kennisneming of verwijdering en, bepaald niet onbelangrijk, de verplichting om een datalek bij de autoriteit persoonsgegevens te melden.

De “verantwoordelijke” moet onderscheiden worden van de “verwerker”. Dat is de natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verantwoordelijke persoonsgegevens verwerkt.

En omdat de verantwoordelijke ervan uit moet kunnen gaan dat de ingeschakelde verwerker behoorlijk omgaat met persoonsgegevens (de AVG naleeft) – de verantwoordelijke draagt de verantwoordelijkheid als dat niet zo is – geeft de AVG de verplichting om afspraken te maken tussen de verantwoordelijke en de verwerker middels een zogeheten ”verwerkersovereenkomst.”

Tot zover een inleiding op de komst van de AVG.

Als u zich afvraagt wat de inwerkingtreding daarvan voor de eigen onderneming betekent of kan gaan betekenen, dan is kennis van het in deze bijdrage genoemde begrippenkader essentieel. In onze volgende blogs en nieuwsbrieven gaan wij hier dieper op in. Op de hoogte blijven? Meld u dan aan voor onze nieuwsbrief!