We hebben het reeds gehad over het verwerkingsregister, waarin alle verwerkingsverantwoordelijken en verwerkers opgesomd zijn. Maar hoe maak je nu als verwerkingsverantwoordelijke concrete afspraken met de verwerker? Hoe zorg je ervoor dat je allebei op dezelfde golflengte zit, en dat dit formeel wordt gedocumenteerd? Het antwoord: de verwerkingsovereenkomst.
Voor we hier dieper op ingaan even kort herhalen wat een verwerkingsverantwoordelijke en een verwerker is. De verwerkingsverantwoordelijke is degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Je kunt ook spreken over de ‘verantwoordelijke’. De verwerker is degene die ten behoeve van de verantwoordelijke bepaalde persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
We hebben intussen al gezien dat je in je verwerkingsregister moet bepalen of je verwerkingsactiviteiten al dan niet uit handen geeft. Dit is belangrijk, aangezien je in dat geval persoonsgegevens doorgeeft aan een derde. In voorkomend geval moet je een bijkomend document opstellen, namelijk de verwerkersovereenkomst. In deze overeenkomst leg je de opdracht vast, bepaal je de grenzen ervan, definieer je de duur en het doel van de verwerking, specificeer je om welk soort persoonsgegevens het gaat, leg je de beveiligingsmaatregelen vast, bepaal je wat er gebeurt bij overtreding door de verwerker, enz.
Wat moet er in verwerkingsovereenkomst worden vastgelegd?
In wat volgt staan per onderdeel de gegevens opgelijst die doorgaans in een verwerkingsovereenkomst worden opgesomd.
Algemene zaken
Art. 28 AVG stipuleert dat volgende onderwerpen moeten aan bod komen:
- onderwerp en duur van de verwerking;
- aard en doel van de verwerking;
- soort persoonsgegevens;
- rechten en verplichtingen van de verwerkingsverantwoordelijke;
- de categorieën en verwerking van de betrokkenen.
Verwerking in overeenstemming met instructies verantwoordelijke
De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken, maar alleen om uitvoering te geven aan de instructies van de verantwoordelijke.
Geheimhouding
In deze bepaling wordt aan de verwerker een geheimhoudingsplicht opgelegd, eventueel gecombineerd met een boetebeding. Overigens is opzettelijke niet-naleving van deze geheimhoudingsplicht strafbaar gesteld in het Wetboek van Strafrecht.
Beveiligingsmaatregelen
De verantwoordelijke zorgt ervoor dat de verwerker passende technische en organisatorische maatregelen neemt om de persoonsgegevens - in overeenstemming met het risico van de verwerking - te beveiligen tegen verlies e.d. Zie ook stap 7 (passende beveiliging) van deze reeks nieuwsberichten.
Inschakelen van derden en onderaannemers
In de overeenkomst wordt vastgelegd of, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.
Locatie van de data
De verantwoordelijke moet weten in welke landen zijn data wordt opgeslagen. Dit is mede van belang met het oog op de verplichtingen die gelden bij doorgifte van persoonsgegevens naar het buitenland.
Audits
De verwerkingsverantwoordelijke moet kunnen controleren of de verwerker zich houdt aan de gemaakte afspraken. Dit gebeurt vaak in de vorm van een audit (onderzoek) door de verantwoordelijke of door een onafhankelijke derde. In de verwerkersovereenkomst kunnen partijen hier nadere afspraken over maken.
Aansprakelijkheid
De verwerkingsverantwoordelijke kan worden aangesproken als iemand schade lijdt doordat de AVG niet wordt nageleefd. Dit geldt zelfs als de schade het gevolg is van nalatigheid van de verwerker, die in dat geval ook zelfstandig aansprakelijk is. Het is verstandig in de verwerkersovereenkomst heldere afspraken te maken over deze verdeling.
Wat zijn enkele concrete voorbeelden van verwerkers?
Voorbeelden zijn: een salarisadministratiekantoor dat voor een bedrijf de salarisadministratie afhandelt, het sociaal secretariaat, een screening agency in het kader van rekrutering en selectie, een archiveringsdienst voor e-filing, een cloud service provider voor de opslag van gegevens, een bewakingsfirma, een verzekeringsmaatschappij, een externe IT-dienstverlener, etc.
Wat is het verschil tussen een verwerkersovereenkomst en een bewerkersovereenkomst?
Niets. Sinds de invoering van de GDPR/AVG spreken we niet meer van ‘bewerkers’ maar van ‘verwerkers’. Dit komt dus op hetzelfde neer.
Wat is het verschil tussen een verwerkersovereenkomst en een Data Procession Agreement?
Niets. Dit is de Engelse benaming van de verwerkersovereenkomst.
Wat als de verwerker mij als verwerkingsverantwoordelijke een verwerkersovereenkomst bezorgt en niet andersom?
Tegenwoordig gebeurt dit wel vaker. Het grote nadeel in dit geval is dat je als verwerkingsverantwoordelijke het hele document goed moet overlopen om te zien of je met alles akkoord gaat. De verwerker doet in vele gevallen beroep op een juridisch medewerker die de verwerker in de overeenkomst optimaal zal indekken. Het is veilig om ervanuit te gaan dat, wanneer de verwerker jou als verwerkingsverantwoordelijke een verwerkersovereenkomst stuurt, je waarschijnlijk niet akkoord mag gaan met de eerste versie. Beslis vooraf voor jezelf wat er in de overeenkomst moet staan (bv. veiligheidsmaatregelen, boetes bij misbruik persoonsgegevens door derde…). Maak hier eventueel een checklist van. Toets deze aan de verwerkersovereenkomst die jou is toegestuurd. Indien er aanzienlijke verschillen bestaan, pas dan de overeenkomst aan (wijzigingen in een kleurtje of met track changes bijgehouden bv., zodat de andere partij snel erdoor kan gaan) en stuur het terug. Laat de overeenkomst heen en weer gaan tot jullie beiden tevreden zijn met de uitgeschreven voorwaarden.
Is het niet gewoon gemakkelijker als ik zelf de verwerkersovereenkomst opstel en doorstuur?
Ja! En dat is precies wat wij vanuit V-ICT-OR aanraden. Door zelf je overeenkomst op te stellen en uit te sturen naar een lijst derden heb je veel meer controle over de inhoud van de overeenkomst. Als de verwerker de overeenkomst terugstuurt met aanpassingen, zul je veel minder tijd verliezen met erdoor te gaan omdat je al weet wat erin staat.
Hoe kan V-ICT-OR mij helpen hierin?
Tijdens het 3-daags begeleidingstraject informatieveiligheid bezorgt V-ICT-OR u voorbeelden van verwerkersovereenkomsten. We kunnen helpen bepalen wie als verwerker moet worden aanzien en wie niet. We kunnen voorbeelden aanleveren van bepaalde formuleringen waar je naar op zoek bent. We kunnen meedenken over de essentiële punten die je in je verwerkersovereenkomst wil opnemen.
Ook een premiumabonnement geeft je de mogelijkheid om met V-ICT-OR te sparren rond alle aspecten van de verwerkersovereenkomst.
Op 09/08/18 volgt er trouwens een gratis infosessie verwerkersovereenkomsten in het VAC Gent. Daar wil V-ICT-OR duidelijkheid scheppen over enkele prangende vragen zoals:
- Wat als leveranciers mijn verwerkersovereenkomst niet willen tekenen?
- Wat zijn de valkuilen van verwerkersovereenkomsten?
- Hoe haal ik aansprakelijkheden aan in de overeenkomst?
- Mag ik als verwerkingsverantwoordelijke eisen dat de overeenkomst in het Nederlands wordt opgesteld?
- Mag ik weigeren dat er zaken worden toegevoegd aan de verwerkersovereenkomst die niet in art. 28 AVG zijn opgelijst, zoals aansprakelijkheidsbeperkingen en boetes bij misbruik? Kan ik bv. eisen dat deze zaken in de plaats in een verkoopsovereenkomst worden opgenomen?
- Mag de verwerker clausules uit de GDPR afzwakken, bv. door te stellen dat de verwerker zijn subverwerkers geheim houdt? Dit is belangrijk want dan kan de verwerkingsverantwoordelijke de subverwerker niet opnemen in het verwerkingsregister, terwijl ook deze entiteit de persoonsgegevens te zien krijgt.
- Wat als de verwerker zelf beweert een verwerkingsverantwoordelijke te zijn?
- Hoe zit het met de generieke verwerkersovereenkomst zoals verspreid door de VVSG?
- Enz.
Er komt een juridisch experte van time.lex uitleg en toelichting geven bij deze vragen.
Naar aanleiding van deze infosessie zal er ook heel binnenkort een generieke verwerkersovereenkomst en een bijhorende checklist volgen die alle gemeentes en OCMW’s naar derden kunnen uitsturen. Bedoeling is de versnippering van de verschillende sjablonen van verwerkersovereenkomsten tegen te gaan en 1 uniforme versie te verspreiden.
Verder is V-ICT-OR volop aan de slag met de implementatie van een functionaliteit ‘verwerkersovereenkomsten’ in zijn informatieveiligheidstool (www.informatieveiligheid.be). Dit zal toelaten om een register van verwerkersovereenkomsten aan te leggen (met metadata zoals ‘status’ en ‘naam derde’) en om een generieke verwerkersovereenkomst te gebruiken als vertrekpunt.