Sluit voor 25 mei 2018 overeenkomsten met uw verwerkers
Op 25 mei 2018 moeten organisaties compliant zijn aan de Algemene Verordening Gegegevensbescherming (AVG) of General Data Protection Regulation (GDPR). Als organisaties de verwerking van persoonlijke gegevens uitbesteden aan andere organisaties, moeten aan de betrokkenen gegarandeerd kunnen worden dat iedere verwerker zich aan de AVG houdt. Deze garantie moet worden geboden door het sluiten van overeenkomsten met verwerkers. Maar wat moet er in een dergelijke verwerkersovereenkomst worden opgenomen? U leest het in onderstaand artikel.
Wat kan NewBaze voor u betekenen op het gebied van gegevensbescherming?
Wilt u goed voorbereid zijn op de komst van de AVG? Dan kan NewBaze uw organisatie onder meer ondersteunen bij:
- het inventariseren van de specifieke verplichtingen van uw organisatie op grond van de AVG;
- het inventariseren en vaststellen van de bewaartermijnen van privacygevoelige informatie;
- het uitvoeren van een data protection impact assessment (DPIA);
- het opstellen van een overzicht van verwerkingen;
- het opstellen van een protocol meldplicht datalekken;
- het opstellen van een privacy protocol, specifiek afgestemd op de activiteiten van uw organisatie;
- het opstellen van verwerkersovereenkomsten.
Heeft u behoefte aan een dergelijke ondersteuning? Of heeft u meer vragen over de AVG? Neem dan vrijblijvend contact op met mr. Sandra Verberk-Elich op sandra.verberk@newbaze.nl of bel 078-200 13 14.
Wie is er verantwoordelijk voor een juiste verwerking?
De organisatie, die het doel en de middelen voor de gegevensverwerking heeft vastgesteld, wordt in de AVG de verwerkingsverantwoordelijke genoemd. Soms worden persoonsgegevens in een andere organisatie verwerkt dan de organisatie van de verwerkingsverantwoordelijke. Denk aan de loonadministratie, die door een grote werkgever is uitbesteed aan een administratiekantoor. In dat geval is het administratiekantoor de verwerker.
De AVG legt zowel verplichtingen op aan de verwerkingsverantwoordelijke als aan de verwerker. Het is op grond van art. 28 lid 3 AVG de taak van de verwerkingsverantwoordelijke om de verwerker door middel van een overeenkomst aan deze verplichtingen te binden.
Wat moet er in de overeenkomst worden opgenomen?
Een ingeschakelde verwerker moet diverse garanties kunnen bieden. De AVG stelt een aantal verplichtingen aan de inhoud van de verwerkersovereenkomst. De volgende zaken moeten in de overeenkomst worden vermeld:
- het onderwerp en de duur van de gegevensverwerking; Welke verwerkingshandelingen zijn uitbesteed en voor hoe lang vindt deze uitbesteding plaats.
- de aard en het doel van de gegevensverwerking; Met welk doel (grondslag) vindt de verwerking plaats en op welke wijze wordt dit uitgevoerd.
- het soort persoonsgegevens dat wordt verwerkt; Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook personeelsnummers, die te herleiden zijn tot een bepaald persoon zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. De vertrouwelijkheid van deze gegevens moeten extra beschermd worden.
- de categorieën van betrokkenen; Van welke personen worden gegevens verwerkt, bijvoorbeeld werknemers, klanten, toeleveranciers, contactpersonen van relaties of prospects.
- de rechten en verplichtingen van de verwerkingsverantwoordelijke. De overeenkomst moet zodanig zijn ingericht dat de verwerker zich volledig ten dienste stelt aan de naleving van de AGV door de verwerkingsverantwoordelijke. Welke specifieke verplichtingen dit zijn, leest u in de volgende paragraaf.
Welke bijzondere verplichtingen moeten worden opgenomen?
Naast de hierboven vermelde algemene verplichtingen, dient de verwerkingsverantwoordelijke ervoor te zorgen dat de verwerker de navolgende garanties biedt:
- de verwerking vindt uitsluitend plaats op basis van schriftelijke instructies van de verantwoordelijke;
- de vertrouwelijkheid van de verwerking moet afdoende gewaarborgd worden;
- de verwerker moet passende veiligheidsmaatregelen tegen inbreuken treffen;
- de verwerker mag geen subverwerkers inschakelen zonder schriftelijke toestemming van de verwerkingsverantwoordelijke en dat subverwerkers alsdan dezelfde garanties als de verwerker moeten kunnen bieden;
- de verwerker verleent bijstand aan de verantwoordelijke bij het vervullen van zijn plicht om aan verzoeken van de betrokkene te voldoen (zoals verwijdering, wijziging, inzage of verstrekking in een gangbaar format van de persoonsgegevens);
- de verwerker garandeert dat na het einde van de overeenkomst de gegevens worden gewist of teruggegeven;
- de verwerker werkt ten behoeve van de verantwoordelijke mee aan audits en inspecties (waaronder het uitvoeren van een data protection impact assessment);
- de verwerker stelt de verantwoordelijke onmiddellijk in kennis van inbreuken.
Wilt u meer weten over verwerkersovereenkomsten?
Op het internet circuleren meerdere voorbeelden van overeenkomsten. Maar welke is geschikt voor uw situatie? NewBaze ondersteunt organisaties met het maken van de juiste keuzes in het vastleggen van een goede verwerkingsovereenkomst. Met onze gratis checklist kunt u zelf al onderzoek doen naar de bepalingen, die van toepassing zijn voor uw organisatie. Wilt u weten wat NewBaze in dit kader voor u betekenen? Vul het onderstaand reactieformulier of bel ons op 078-200 13 14. Wij nemen dan zo snel mogelijk contact met u op.
NewBaze bereid u voor op de AVG:
- door het inventariseren van uw verplichtingen op grond van de AVG;
- door het uitvoeren van een data protection impact assessment (DPIA);
- met het opstellen van een privacyprotocol en een protocol meldplicht datalekken;
- met het opmaken van verwerkingsovereenkomsten met uw verwerkers;
- door het aanreiken van tools voor preventie en controle op de naleving van de AVG.