De verwerkersovereenkomst
Sedert de invoering van de GDPR/AVG is voor vele organisaties nog steeds niet duidelijk wat een verwerkersovereenkomst nu precies is en of ze dergelijke overeenkomst moeten hebben.
Op 10 december 2019 werd door het Europees Comité voor Gegevensbescherming (edpb) een ontwerp-tekst van de Deense Autoriteit Persoonsgegevens aangenomen als referentie voor een inhoudelijk correcte verwerkersovereenkomst. De tekst maakt duidelijk waarover Verwerkingsverantwoordelijke en Verwerker afspraken moeten maken.
“Verwerkingsverantwoordelijke en verwerker zijn op basis van artikel 28 GDPR/AVG verplicht een verwerkersovereenkomst af te sluiten.“
Verwerkingsverantwoordelijke en verwerker
De verwerkingsverantwoordelijke bepaalt welke persoonsgegevens worden verwerkt en waarvoor die noodzakelijk zijn (hij bepaalt het doel en de middelen). De werkgever bepaalt welke gegevens er nodig zijn voor de personeelsadministratie, een winkelier voor het bieden van een goede klantenservice en een overheid voor diverse dienstverlening aan haar inwoners.
Een verwerker bepaalt niet zelf het doel en de middelen maar verwerkt de persoonsgegevens in naam en voor rekening van de Verwerkingsverantwoordelijke.
Verwerkingsverantwoordelijke en verwerker zijn op basis van artikel 28 GDPR/AVG verplicht een verwerkersovereenkomst af te sluiten. De verplichting rust op beide partijen.
Wel of geen verwerkersovereenkomst?
Wanneer u als organisatie een marketingbureau inschakelt om uw uw klanten regelmatig een nieuwsbrief te sturen of prospecten te contacteren bent u de verwerkingsverantwoordelijke en het marketingbureau de verwerkers. Anders wanneer u Software-as-a-Service levert bent u verwerker en de gebruiker van de software de verwerkingsverantwoordelijke. In beide gevallen bent u verplicht een verwerkersovereenkomst af te sluiten en te zorgen dat de daarin opgenomen vermeldingen worden nageleefd.
Anders is het wanneer u persoonsgegevens van uw werknemers aan een verzekeringsmaatschappij doorgeeft in het kader van een autoverzekering voor een bedrijfswagen of software via een disc verkoopt. In dat geval is de ontvanger zelf verwerkingsverantwoordelijke vermits hij zelf het doel en de middelen waarvoor de gegevens worden verwerkt, bepaalt.
Wat minstens in de verwerkersovereenkomst moet geregeld worden
Artikel 28 GDPR/AVG bepaalt welke bepalingen minstens in de overeenkomst moeten opgenomen en de goedgekeurde tekst werkt dit verder uit in een concrete tekst.
Enkel verwerking binnen het vooropgestelde doel
Als verwerker mag u enkel in opdracht en volgens de aanwijzingen van de verwerkingsverantwoordelijke gegevens verwerken. Eén van de belangrijkste bepalingen van de verwerkersovereenkomst is dan ook de omschrijving van het doel van de opdracht. Als verwerker mag u geenszins de gegevens op eigen initiatief voor een ander doel gaan gebruiken op straffe dat u dan zelf als verwerkingsverantwoordelijke gezien en aansprakelijk bent voor een ongeoorloofd gebruik van gegevens.
Op de verwerkingsverantwoordelijke rust de plicht na te gaan of de verwerking binnen de perken van de opdracht gebeurt. De verwerker moet daarom meewerken aan audits.
“Eén van de belangrijkste bepalingen van de verwerkersovereenkomst is dan ook de omschrijving van het doel van de opdracht.”
Inhoud van de verwerkersovereenkomst
De GDPR/AVG legt een volgende verplichte inhoudelijke eisen aan de verwerkersovereenkomst op:
- welke persoonsgegevens er zullen verwerkt worden
- hoe en voor welke doelen de persoonsgegevens worden verwerkt
- aan wie persoonsgegevens mag worden verstrekt en dat deze dezelfde plichten opgelegd krijgen als de verwerker zelf
- welke beveiligingsmaatregelen zijn genomen (of zullen worden) om de opgeslagen gegevens te beveiligen
- het recht van de verwerkingsverantwoordelijke om audits te uitvoeren
- hoe aan de rechten van de betrokkenen zal worden voldoen
- de verplichting van de verwerker om informatie en steun te verlenen in geval van datalekken
- wanneer en op welke manier de gegevens weer verwijderd worden bij het einde van de overeenkomst
Hiernaast kunnen nog andere bepalingen opgenomen worden zoals een regeling inzake aansprakelijkheden tav betrokkenen en de Gegevensbeschermingsautoriteit.
Passend beveiligingsniveau
Laat u als verwerkingsverantwoordelijke persoonsgegevens verwerken door iemand anders verwerken, moet je erop toezien dat deze verwerker wel voldoende veiligheidswaarborgen geeft. Het GDPR/AVG spreekt over passende beveiligingsmechanismen die in verhouding staan met het soort verwerkte persoonsgegevens. Het spreekt voor zich dat het veiligheidsniveau voor het verwerken van ID-, of gezondheidsgegevens hoger zal zijn dan voor het verwerken van klantenkaartgegevens. In praktijk zal hetzelfde beschermingsniveau dat de verwerkingsverantwoordelijke aan zichzelf heeft opgelegd ook van de verwerker geëist worden.
Datalekken
Bij ernstige datalekken rust op de verwerkingsverantwoordelijke de plicht om binnen 72 uur na kennisname de Gegevensbeschermingsautoriteit en/of betrokkenen hiervan in te lichten en eventueel passende maatregelen te nemen om risico’s te beperken. Ook wanneer het datalek bij de Verwerker is ontstaan, blijft de meldplicht bij de verantwoordelijke tenzij in de verwerkingsovereenkomst hiervoor afwijkende bepalingen zijn opgenomen. Let wel, de Verwerkingsverantwoordelijke blijft ten allen tijde verantwoordelijk voor de gevolgen van een datalek en kan veroordeeld worden tot betalen van schadevergoedingen. Artikel 28 GDPR/AVG benadrukt om enkel beroep te doen op verwerkers die afdoende garanties kunnen bieden dat de rechten van betrokkenen worden gewaarborgd.
“De Gegevensbescherminningsautoriteit heeft het recht controles uit te voeren en na te gaan of er een verwerkersovereenkomst werd uitgesloten én of deze inhoudelijk wel alle wettelijk verplichte vermeldingen bevat.”
Wat met gegevens bij het einde van de overeenkomst
Persoonsgegevens zullen bij het einde van de overeenkomst een bestemming moeten krijgen. Ze kunnen worden teruggegeven aan de verwerkingsverantwoordelijke of gewist waarbij alle bestaande kopieën worden verwijderd. De keuze ligt bij de verwerkingsverantwoordelijke en wordt verplicht in de verwerkersovereenkomst vermeld.
Controle
De Gegevensbescherminningsautoriteit heeft het recht controles uit te voeren en na te gaan of er een verwerkersovereenkomst werd uitgesloten én of deze inhoudelijk wel alle wettelijk verplichte vermeldingen bevat. Het niet voldoen aan de verplichting van afsluiten van een verwerkersovereenkomst af te sluiten kan leiden tot sancties die gaan van een berisping tot opleggen van hoge boetes.
Naast de kans gesanctioneerd te worden, neemt u beveiligingsrisico’s en komt uw aansprakelijkheid in het gedrang wanneer u niet voldoet aan de verplichtingen van de GDPR/AVG inzake verwerkersovereenkomsten.
13 februai 2020
Door Pascale De Neef
“De verwerkersovereenkomst is verplicht af te sluiten wanneer een verwerker in naam en voor rekening van een verantwoordelijke persoonsgegevens gaat verwerken”