Als onderneming of organisatie werkt u samen met andere partners zoals een Sociaal Secretariaat, een boekhouder, een IT-leverancier enzovoort. Voor het delen of verwerken van gegevens met deze bedrijven, bent u als verwerkingsverantwoordelijke verplicht een contract op te stellen die door hun zal ondertekend worden. Het is zo dat u als verantwoordelijke een zicht én zekerheid moet hebben over wat er met de persoonsgegevens die u bewaart, verder gebeurd. Het is zeker niet zo dat een verwerker van uw gegevens zoals een sociaal secretariaat, u een overeenkomst laat tekenen, want dan zou een verwerker zich opstellen als verantwoordelijke.
U legt als verantwoordelijke de afspraken vast die door de verwerkers dienen aanvaard te worden!
Is een verwerkersovereenkomst verplicht?
Een verwerkersovereenkomst is inderdaad verplicht op te stellen en te ondertekenen door de organisaties die de persoonsgegevens via uw organisatie kunnen verwerken.
De verwerkingsverantwoordelijke en de verwerker kunnen kiezen voor het gebruik van een individuele overeenkomst of standaardcontractbepalingen, die hetzij rechtstreeks door de Commissie, hetzij door een toezichthoudende autoriteit in het kader van het coherentiemechanisme en vervolgens door de Commissie worden vastgesteld.
Wat moet er in een verwerkersovereenkomst worden opgenomen?
De belangrijkste onderwerpen in een verwerkersovereenkomst of Data Processing Agreement;
- Een beschrijving van de partijen
- DPO van de verwerker (indien van toepassing)
- De verplichting tot passende technische en organisatorische beveiliging
- Voorwaarden voor onderaannemers
- Aard en doel van de verwerking
- Looptijd van de verwerking
- …